Unknown user on Wiki.js : Log4shell ? - Utilisateur inconnu sur Wiki.js : Log4shell?

/ Message template (english)

My YunoHost server

Hardware: Old laptop or computer
YunoHost version: 4.3.6.2 (stable)
I have access to my server : Through SSH | through the webadmin
Are you in a special context or did you perform some particular tweaking on your YunoHost instance ? : no

Description of my issue

As you can see, I have a Yunohost installed on a PC with some applications on it including Wiki.js which uses LDAP.

While I was on the webadmin interface, I realized that a user account svc_Wdsjqkfhejfd was added for the subdomain wiki.domain.com.

I remember testing LDAP just to see how it works, so I may have made this account but I don’t remember using this account name (I use to test names like test).

I thought of the log4shell flaw which according to some sites exploit LDAP :

An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.

As a precaution, I deleted the suspicious account and uninstalled Wiki.js. Now only the essential users and applications are left.

Question:
If a malicious code is already in my server (I imagine for example a script exporting my data or a hijacked access to my server), how to identify such a problem and eventually eliminate it?

Thank you very much for your kind help !

Modèle de message (français)

Mon serveur YunoHost

Matériel: Vieil ordinateur
Version de YunoHost: 4.3.6.2 (stable)
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

Hello ! Comme vous pouvez le voir, je dispose d’un Yunohost installé sur un PC avec quelques application dessus dont Wiki.js qui utilise LDAP.

Alors que j’étais sur l’interface webadmin, je me suis rendu compte qu’un compte user svc_Wdsjqkfhejfd a été ajouté pour le sous-domaine wiki.domain.com.

Je me souviens avoir testé LDAP juste pour savoir comment cela fonctionne, donc il se peut que cela soit moi qui ait fait ce compte mais je ne me souviens pas avoir utilisé ce nom de compte (j’utilise pour tester des noms comme « test »).

J’ai pensé à la faille log4shell qui d’après certains sites exploitent LDAP :

An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.

Par précaution, j’ai supprimé le compte suspect et j’ai désinstallé Wiki.js. Il ne reste aujourd’hui que les utilisateurs et applications essentielles.

Question :
Si un code malveillant est déjà dans mon serveur (j’imagine par exemple un script exportant mes données ou bien un accès détourné à mon serveur) , comment identifier un tel problème et éventuellement l’éliminer ?

Merci beaucoup pour votre aide !

C’est un comportement normal, mais certes inesthétique de l’application pour qu’elle puisse utiliser le serveur LDAP de YunoHost.

Pour référence, le code associé : https://github.com/YunoHost-Apps/wikijs_ynh/blob/3a6f492901db39b7001df2c7f32e01c8fbcb0409/scripts/install#L127

Franchement, merci beaucoup de m’avoir rassuré et avoir fourni en plus le code, c’est vraiment sympa !
Imagine le stress que j’ai eu quand j’ai vu le compte SvcWikijsLdap.
Super content de voir que c’est tout à fait normal. Je marque le sujet comme Résolu !

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.