Re: Exécutable étrange
On 5/31/23 09:55, BERTRAND Joël wrote:
Bonjour à tous,
Hier soir, je me suis aperçu qu'un serveur ramait énormément. En
regardant de près, j'ai trouvé un exécutable étrange :
/dev/shm/hwm
avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.
J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).
Si un processus actif de pid 1234 est suspect (par exemple résultat de
de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les
appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/
(conserver la sortie ...)
Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non
pas à supprimer les fichiers, mais à les copier ou renommer ailleurs
(par exemple dans /var/tmp/ ...), puis à les examiner au minimum avec
les commandes suivantes
/bin/ls -l /var/tmp/hwm /var/tmp/hwmon
/usr/bin/stat /var/tmp/hwm /var/tmp/hwmon
/usr/bin/file /var/tmp/hwm /var/tmp/hwmon
/usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon
Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en
googlisant.
Ma parano me ferait penser (sur un serveur publiquement accessible sur
Internet) à un virus informatique..... Ceux-ci existent sous Linux.
Si on veut comprendre un exécutable, on pourrait utiliser
https://github.com/binsec développé par des collègues du CEA. Dont
Sebastien Bardin en BCC.
--
Basile Starynkevitch <basile@starynkevitch.net>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/
Reply to: