Bonjour à tous,
 
Comment être bref. En fait je rencontre depuis 2 jours des problèmes sur le serveur qui héberge mon site. J'ai constater une hausse du débit en download du serveur. Visiblement cela provient d'une faille dans du code PHP et donc via le compte webusers la commande wget est lancée.
 
Hier nous avons découvert un fichier .pl qui était présent dans /tmp et qui réapparaissait peu de temps après sa suppression.
 
La nuit s'est bien passé, nous avons mis à jour la Debian, ainsi qu'un PhpBB qui a reçu une maj aujourd'hui mais j'ai toujours le problème.
 
Je copie colle ci dessous ce que j'ai trouvé
 

 
Juste un truc, pour en revenir au fichier .pl, il contenait un virus que mon antivirus a détécté comme le virus IRC.Backdoor.Trojan
 
On m'a conseillé d'activer le mode safe de PHP dans httpd.com mais le problème est que certains de mes scripts utilises des commandes Linux et donc je ne peux pas activer ce mode.
 
Enfin, je cherche un moyen d'arrêter la charge du serveur en attendant de revérifier tout mon code.
 
Merci d'avance
 
SnakeX

personne ?

commence par tout couper. kill tous les process de ton webusers. Nettoie les scripts qui ont été insérés (avec ps aux tu va voir quoi est exécuté), mets à jour tes logiciels serveurs (vérifie les configurations), et mets un "/bin/false" comme shell à webusers.
 
apt-get install chkrootkit checksecurity
 
voire apt-get install tiger
 
et si tu le peux, vérouille bien avec iptables si possible.

ps aux me donne ça  
 
webusers  2524 18.7  0.5  4400 2856 ?        R    15:24   1:54 [bdflush]
webusers  2530 18.7  0.5  4400 2856 ?        R    15:24   1:54 [bdflush]
webusers  2532 18.7  0.5  4400 2856 ?        R    15:24   1:54 [bdflush]
webusers  2534 15.5  0.5  4404 2860 ?        R    15:24   1:35 [bdflush]
webusers  2536 15.6  0.5  4404 2860 ?        R    15:24   1:35 [bdflush]

Le Manuel de sécurisation Debian contient une mine d'infos utiles pour le comportement avant/après compromission d'un système et plus généralement tout ce qui a trait à la sécurité et aux bons réflexes à avoir sur son serveur Debian.
 
Si tu ne l'as pas déjà consulté, à lire absolument :
---> http://www.debian.org/doc/manuals/ [...] ex.fr.html
 
 
Je te conseillerai également de songer à une mise à jour de ta distribution et de passer de Debian 3.0 (Woody) à Debian 3.1 (Sarge) ; cette dernière est désormais la nouvelle version stable, le support de sécurité est fonctionnel et les paquets sont plus récents.

Merci pour l'url, pour ce qui est de la version je suis déjà en 3.1.

Alors change ton titre, parcqu'il contient "3.0"

en attendant, si l'attaque n'est pas distribuée, tu peux la récupérer dans les logs apache et faire une règle iptables afin de lui refuser toute connexion.

Petit avancement.
 
Je pensais avoir réglé hier le problème. Un technicien de mon hébergeur a activé le mode safe de Php ce qui fait que certaines commandes n'étaient plus exécutables. Et donc le problème réglé. Mais cela aurait été trop facile si mes scripts d'admin n'utilisaient pas quelques commandes Linux.
 
J'ai donc supprimé PhpBB complètement hier et désactivé le mode Safe. Effectivement je n'étais plus attaqué au bout de 4 heures. J'ai donc décidé de remettre PhpBB avec une version téléchargée toute propre toute neuve tout en laissant désactivé le mode Safe. Et là, toujours pas d'attaque pendant 8 heures.
 
Et cette nuit, pas besoin de vous faire de dessin, je vous laisse regarder l'activité réseau de mon serveur.