/ Message template (english)
My YunoHost server
Hardware: Old laptop or computer
YunoHost version: 4.3.6.2 (stable)
I have access to my server : Through SSH | through the webadmin
Are you in a special context or did you perform some particular tweaking on your YunoHost instance ? : no
Description of my issue
As you can see, I have a Yunohost installed on a PC with some applications on it including Wiki.js which uses LDAP.
While I was on the webadmin interface, I realized that a user account svc_Wdsjqkfhejfd
was added for the subdomain wiki.domain.com.
I remember testing LDAP just to see how it works, so I may have made this account but I don’t remember using this account name (I use to test names like test
).
I thought of the log4shell flaw which according to some sites exploit LDAP :
An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.
As a precaution, I deleted the suspicious account and uninstalled Wiki.js. Now only the essential users and applications are left.
Question:
If a malicious code is already in my server (I imagine for example a script exporting my data or a hijacked access to my server), how to identify such a problem and eventually eliminate it?
Thank you very much for your kind help !
Modèle de message (français)
Mon serveur YunoHost
Matériel: Vieil ordinateur
Version de YunoHost: 4.3.6.2 (stable)
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Description du problème
Hello ! Comme vous pouvez le voir, je dispose d’un Yunohost installé sur un PC avec quelques application dessus dont Wiki.js qui utilise LDAP.
Alors que j’étais sur l’interface webadmin, je me suis rendu compte qu’un compte user svc_Wdsjqkfhejfd
a été ajouté pour le sous-domaine wiki.domain.com.
Je me souviens avoir testé LDAP juste pour savoir comment cela fonctionne, donc il se peut que cela soit moi qui ait fait ce compte mais je ne me souviens pas avoir utilisé ce nom de compte (j’utilise pour tester des noms comme « test »).
J’ai pensé à la faille log4shell qui d’après certains sites exploitent LDAP :
An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.
Par précaution, j’ai supprimé le compte suspect et j’ai désinstallé Wiki.js. Il ne reste aujourd’hui que les utilisateurs et applications essentielles.
Question :
Si un code malveillant est déjà dans mon serveur (j’imagine par exemple un script exportant mes données ou bien un accès détourné à mon serveur) , comment identifier un tel problème et éventuellement l’éliminer ?
Merci beaucoup pour votre aide !