Bonjour à tous,

Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Bien cordialement,

JB



--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 5/31/23 09:55, BERTRAND Joël wrote:

Bonjour à tous,

Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

Si un processus actif de pid 1234 est suspect (par exemple résultat de
de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les
appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/
(conserver la sortie ...)

Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non
pas à supprimer les fichiers, mais à les copier ou renommer ailleurs
(par exemple dans /var/tmp/ ...),  puis à les examiner au minimum avec
les commandes suivantes


/bin/ls -l /var/tmp/hwm /var/tmp/hwmon

/usr/bin/stat /var/tmp/hwm /var/tmp/hwmon

/usr/bin/file /var/tmp/hwm /var/tmp/hwmon

/usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Ma parano me ferait penser (sur un serveur publiquement accessible sur Internet) à un virus informatique..... Ceux-ci existent sous Linux.


Si on veut comprendre un exécutable, on pourrait utiliser https://github.com/binsec développé par des collègues du CEA. Dont
Sebastien Bardin en BCC.

--
Basile Starynkevitch <[email protected]>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

hello,

juste comme ça, au pif: hwm, ça me fait penser à hardware monitoring.


f.

Le 31/05/2023 à 09:55, BERTRAND Joël a écrit :

Bonjour à tous,

Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Bien cordialement,

JB

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 31 mai 2023 BERTRAND Joël a écrit :

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

As-tu gardé les fichiers dans un coin ? Il y a quel contenu dans le
fichier de conf ? Les programmes sont compilés ou des scripts ?

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Il y a un plugin hwmon dans munin, qui se rapprocherait un peu de
www-data. Tu as sans doute un serveur web installé ? Vérifie si les
document root sont tous explicitement indiqués et assez restrictifs.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 2023-05-31 09:55, BERTRAND Joël a écrit :

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Les programmes hwm et hwmon ne me disent rien et je suis plus que
surpris de voir un exécutable installé dans /dev/shm, répertoire historiquement dédié à un usage bien précis.

On trouve des occurrences de « hwmon » dans la documentation du système
de monitoring du noyau Linux et la documentation de certains pilotes de ventilateurs. Mais rien qui ne relie directement le terme « hwmon » à « /dev/shm ».

Il existe aussi un module Python :

https://pypi.org/project/hwmon/

La documentation de celui-ci mentionne diverses entrées dans /dev, mais
pas /dev/shm.

Curieux... À ta place, je m'inquièterais un peu et je pousserais plus
loin mes investigations. Il faudrait savoir comment des exécutables ont
été copiés là et dans quel but.

Sébastien


--
Sébastien Dinot
Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer ! https://www.palabritudes.net/

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Je ne sais pas si mon grain de sel apporte quelque chose à la question, mais une recherche sur "hwm" dans le contenu des paquets debian ne retourne aucun résultat.

https://packages.debian.org/search?searchon=contents&keywords=hwm&mode=exactfilename&suite=stable&arch=any



Envoyé avec la messagerie sécurisée Proton Mail.

------- Original Message -------
Le mercredi 31 mai 2023 à 10:35, Basile Starynkevitch <[email protected]> a écrit :

On 5/31/23 09:55, BERTRAND Joël wrote:

Bonjour à tous,

Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur le système, je n'ai rien trouvé de plus. Je pense savoir comment il a été déposé ici (mais aucune trace dans les logs).

Si un processus actif de pid 1234 est suspect (par exemple résultat de
de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les
appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/
(conserver la sortie ...)

Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non
pas à supprimer les fichiers, mais à les copier ou renommer ailleurs
(par exemple dans /var/tmp/ ...), puis à les examiner au minimum avec
les commandes suivantes

/bin/ls -l /var/tmp/hwm /var/tmp/hwmon

/usr/bin/stat /var/tmp/hwm /var/tmp/hwmon

/usr/bin/file /var/tmp/hwm /var/tmp/hwmon

/usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Ma parano me ferait penser (sur un serveur publiquement accessible sur Internet) à un virus informatique..... Ceux-ci existent sous Linux.

Si on veut comprendre un exécutable, on pourrait utiliser https://github.com/binsec développé par des collègues du CEA. Dont Sebastien Bardin en BCC.

--
Basile Starynkevitch [email protected]

(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Basile Starynkevitch a écrit :

On 5/31/23 09:55, BERTRAND Joël wrote:

    Bonjour à tous,

    Hier soir, je me suis aperçu qu'un serveur ramait énormément. En >> regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

    J'ai viré les trois fichiers en question et j'ai inspecté en
profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

Si un processus actif de pid 1234 est suspect (par exemple résultat de
de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les
appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/
(conserver la sortie ...)

Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non
pas à supprimer les fichiers, mais à les copier ou renommer ailleurs
(par exemple dans /var/tmp/ ...),  puis à les examiner au minimum avec
les commandes suivantes

Mais je me suis inquiété. J'ai passé la nuit sur la machine en question. Le programme hwm était un exécutable statique. Je n'ai pas
pensé à le passer dans strace. Le fichier de conf à côté (/dev/shm/hwm.conf) m'indiquait même clairement l'URL d'injection (dns.xxx.yyy).
C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :

https://github.com/keithbowes/b2evolution

/bin/ls -l /var/tmp/hwm /var/tmp/hwmon

/usr/bin/stat /var/tmp/hwm /var/tmp/hwmon

/usr/bin/file /var/tmp/hwm /var/tmp/hwmon

/usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon

    Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en >> googlisant.

Ma parano me ferait penser (sur un serveur publiquement accessible sur Internet) à un virus informatique..... Ceux-ci existent sous Linux.

Je sais. Et je suis aussi paranoïaque. La machine semble propre.

Bien cordialement,

JB

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 31 mai 2023 BERTRAND Joël a écrit :

C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :

https://github.com/keithbowes/b2evolution

Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5
sur l'upstream est plus récente. Il y a notamment une injection de code jusqu'à la version 7.2.2.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Michel Verdier a écrit :

Le 31 mai 2023 BERTRAND Joël a écrit :

C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un >> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :

https://github.com/keithbowes/b2evolution

Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5
sur l'upstream est plus récente. Il y a notamment une injection de code jusqu'à la version 7.2.2.

Mais celle-ci supporte php8. L'un dans l'autre, mon coeur balance.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 31 mai 2023 BERTRAND Joël a écrit :

Michel Verdier a écrit :

Le 31 mai 2023 BERTRAND Joël a écrit :

C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un >>> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :

https://github.com/keithbowes/b2evolution

Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5
sur l'upstream est plus récente. Il y a notamment une injection de code
jusqu'à la version 7.2.2.

Mais celle-ci supporte php8. L'un dans l'autre, mon coeur balance.

Ou récupérer le patch de passage à php8 pour l'appliquer sur la version 7.2.5. A première vue ça concerne des fonctions n'existant plus sur php8. Mais sinon les failles injection sql et cross site qui ont l'air problématiques sur b2evolution peuvent être bloquées par un réglage sur le serveur web.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour

Une suggestion : chercher ces exécutables dans les paquets de Debian. Si
aucun exécutable n'est supposé être présent sans appartenir à un paquet du (ou des) dépôt(s) configures dans apt, alors ça donnera des indices supplémentaires

Documentation (chez Ubuntu) ici : https://doc.ubuntu-fr.org/apt-file

Ensuite, si les exécutables suspects sont encore disponibles quelque part (dans un backup par exemple), ce serait intéressant de les soumettre au service en ligne virustotal.

Le mer. 31 mai 2023 à 18:45, Michel Verdier <[email protected]> a écrit :

Le 31 mai 2023 BERTRAND Joël a écrit :

Michel Verdier a écrit :

Le 31 mai 2023 BERTRAND Joël a écrit :

C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un
sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester : >>>
https://github.com/keithbowes/b2evolution

Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5
sur l'upstream est plus récente. Il y a notamment une injection de code >> jusqu'à la version 7.2.2.

Mais celle-ci supporte php8. L'un dans l'autre, mon coeur balance.

Ou récupérer le patch de passage à php8 pour l'appliquer sur la version 7.2.5. A première vue ça concerne des fonctions n'existant plus sur php8. Mais sinon les failles injection sql et cross site qui ont l'air problématiques sur b2evolution peuvent être bloquées par un réglage sur le
serveur web.

<div dir="auto">Bonjour<div dir="auto"><br></div><div dir="auto">Une suggestion : chercher ces exécutables dans les paquets de Debian. Si aucun exécutable n&#39;est supposé être présent sans appartenir à un paquet du (ou des) dépôt(s) configures
dans apt, alors ça donnera des indices supplémentaires</div><div dir="auto"><br></div><div dir="auto">Documentation (chez Ubuntu) ici : <a href="https://doc.ubuntu-fr.org/apt-file">https://doc.ubuntu-fr.org/apt-file</a></div><div dir="auto"><br></div><
div dir="auto">Ensuite, si les exécutables suspects sont encore disponibles quelque part (dans un backup par exemple), ce serait intéressant de les soumettre au service en ligne virustotal. </div></div><br><div class="gmail_quote"><div dir="ltr" class=
"gmail_attr">Le mer. 31 mai 2023 à 18:45, Michel Verdier &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 31 mai 2023
BERTRAND Joël a écrit :<br>

&gt; Michel Verdier a écrit :<br>
&gt;&gt; Le 31 mai 2023 BERTRAND Joël a écrit :<br>
&gt;&gt; <br>
&gt;&gt;&gt; C&#39;est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu&#39;un<br>
&gt;&gt;&gt; sait-il d&#39;ailleurs sur quoi migrer un blog b2evolution ? b2evolution<br>
&gt;&gt;&gt; n&#39;est plus supporté. J&#39;ai bien vu ceci que je vais peut-être tester :<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; <a href="https://github.com/keithbowes/b2evolution" rel="noreferrer noreferrer" target="_blank">https://github.com/keithbowes/b2evolution</a><br>
&gt;&gt; <br>
&gt;&gt; Visiblement c&#39;est un fork d&#39;une version plus ancienne. La version 7.2.5<br>
&gt;&gt; sur l&#39;upstream est plus récente. Il y a notamment une injection de code<br>
&gt;&gt; jusqu&#39;à la version 7.2.2.<br>
&gt;<br>
&gt;       Mais celle-ci supporte php8. L&#39;un dans l&#39;autre, mon coeur balance.<br>

Ou récupérer le patch de passage à php8 pour l&#39;appliquer sur la version<br>
7.2.5. A première vue ça concerne des fonctions n&#39;existant plus sur php8.<br>
Mais sinon les failles injection sql et cross site qui ont l&#39;air<br> problématiques sur b2evolution peuvent être bloquées par un réglage sur le<br>
serveur web.<br>

</blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
On 5/31/23 21:53, Dethegeek wrote:

Ah oui, je m'etais mis en tête que c'était un emplacement sur disque,
du fait qu'il y avait des exécutables. J'ai pas fait attention que le
chemin commençait par /dev .

Il n'y a aucune chance d'avoir encore une copie de ces exécutables ?

Non. /dev/shm/ est documenté en https://www.man7.org/linux/man-pages/man7/shm_overview.7.html et https://www.man7.org/linux/man-pages/man3/shm_open.3.html

Le mer. 31 mai 2023 à 21:32, Belaïd <[email protected]> a écrit :

Bonsoir,

apt-file search /dev/shm ne donnera rien puisque ce dernier n'est
qu'un emplacement mémoire

Le mer. 31 mai 2023 à 21:26, Michel Verdier <[email protected]> a écrit :

Le 31 mai 2023 Dethegeek a écrit :

> Une suggestion : chercher ces exécutables dans les paquets
de Debian. Si
> aucun exécutable n'est supposé être présent sans appartenir
à un paquet du
> (ou des) dépôt(s) configures dans apt, alors ça donnera des
indices
> supplémentaires

apt-file search /dev/shm
ne renvoie rien, mais on s'en doutait il n'y a pas
d'exécutable dans
/dev/shm (ni même dans /dev je pense ?)

> Ensuite, si les exécutables suspects sont encore disponibles
quelque part
> (dans un backup par exemple), ce serait intéressant de les
soumettre au
> service en ligne virustotal.

ou, pour rester sur debian, passer clamav dessus

--
Basile Starynkevitch<[email protected]>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">On 5/31/23 21:53, Dethegeek wrote:<br>
</div>
<blockquote type="cite" cite="mid:CALA8O7q4XUEJ2V2sQzxEfwb=[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="auto">Ah oui, je m'etais mis en tête que c'était un
emplacement sur disque, du fait qu'il y avait des exécutables.
J'ai pas fait attention que le chemin commençait par /dev .
<div dir="auto"><br>
</div>
<div dir="auto">Il n'y a aucune chance d'avoir encore une copie
de ces exécutables ? <br>
<div dir="auto">
<div dir="auto"><br>
</div>
<div dir="auto"><br>
</div>
</div>
</div>
</div>
</blockquote>
<p><br>
</p>
<p>Non. /dev/shm/ est documenté en
<a class="moz-txt-link-freetext" href="https://www.man7.org/linux/man-pages/man7/shm_overview.7.html">https://www.man7.org/linux/man-pages/man7/shm_overview.7.html</a> et
<a class="moz-txt-link-freetext" href="https://www.man7.org/linux/man-pages/man3/shm_open.3.html">https://www.man7.org/linux/man-pages/man3/shm_open.3.html</a><br>
</p>
<blockquote type="cite" cite="mid:CALA8O7q4XUEJ2V2sQzxEfwb=[email protected]"><br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à 21:32,
Belaïd &lt;<a href="mailto:[email protected]"
target="_blank" rel="noreferrer" moz-do-not-send="true"
class="moz-txt-link-freetext">[email protected]</a>&gt;
a écrit :<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto">Bonsoir,
<div dir="auto"><br>
</div>
<div dir="auto">apt-file search /dev/shm ne donnera rien
puisque ce dernier n'est qu'un emplacement mémoire </div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à
21:26, Michel Verdier &lt;<a href="mailto:[email protected]"
rel="noreferrer noreferrer" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">[email protected]</a>&gt;
a écrit :<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">Le 31
mai 2023 Dethegeek a écrit :<br>
<br>
&gt; Une suggestion : chercher ces exécutables dans les
paquets de Debian. Si<br>
&gt; aucun exécutable n'est supposé être présent sans
appartenir à un paquet du<br>
&gt; (ou des) dépôt(s) configures dans apt, alors ça
donnera des indices<br>
&gt; supplémentaires<br>
<br>
apt-file search /dev/shm<br>
ne renvoie rien, mais on s'en doutait il n'y a pas
d'exécutable dans<br>
/dev/shm (ni même dans /dev je pense ?)<br>
<br>
&gt; Ensuite, si les exécutables suspects sont encore
disponibles quelque part<br>
&gt; (dans un backup par exemple), ce serait intéressant
de les soumettre au<br>
&gt; service en ligne virustotal.<br>
<br>
ou, pour rester sur debian, passer clamav dessus<br>
<br>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
<pre class="moz-signature" cols="72">--
Basile Starynkevitch <a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

</pre>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 31 mai 2023 Dethegeek a écrit :

Une suggestion : chercher ces exécutables dans les paquets de Debian. Si aucun exécutable n'est supposé être présent sans appartenir à un paquet du
(ou des) dépôt(s) configures dans apt, alors ça donnera des indices supplémentaires

apt-file search /dev/shm
ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans
/dev/shm (ni même dans /dev je pense ?)

Ensuite, si les exécutables suspects sont encore disponibles quelque part (dans un backup par exemple), ce serait intéressant de les soumettre au service en ligne virustotal.

ou, pour rester sur debian, passer clamav dessus

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonsoir,

apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un emplacement mémoire

Le mer. 31 mai 2023 à 21:26, Michel Verdier <[email protected]> a écrit :

Le 31 mai 2023 Dethegeek a écrit :

Une suggestion : chercher ces exécutables dans les paquets de Debian. Si aucun exécutable n'est supposé être présent sans appartenir à un paquet

du

(ou des) dépôt(s) configures dans apt, alors ça donnera des indices supplémentaires

apt-file search /dev/shm
ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans /dev/shm (ni même dans /dev je pense ?)

Ensuite, si les exécutables suspects sont encore disponibles quelque part (dans un backup par exemple), ce serait intéressant de les soumettre au service en ligne virustotal.

ou, pour rester sur debian, passer clamav dessus

<div dir="auto">Bonsoir,<div dir="auto"><br></div><div dir="auto">apt-file search /dev/shm ne donnera rien puisque ce dernier n&#39;est qu&#39;un emplacement mémoire </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 31
mai 2023 à 21:26, Michel Verdier &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 31 mai 2023 Dethegeek a écrit :<br>

&gt; Une suggestion : chercher ces exécutables dans les paquets de Debian. Si<br>
&gt; aucun exécutable n&#39;est supposé être présent sans appartenir à un paquet du<br>
&gt; (ou des) dépôt(s) configures dans apt, alors ça donnera des indices<br> &gt; supplémentaires<br>

apt-file search /dev/shm<br>
ne renvoie rien, mais on s&#39;en doutait il n&#39;y a pas d&#39;exécutable dans<br>
/dev/shm (ni même dans /dev je pense ?)<br>

&gt; Ensuite, si les exécutables suspects sont encore disponibles quelque part<br>
&gt; (dans un backup par exemple), ce serait intéressant de les soumettre au<br>
&gt; service en ligne virustotal.<br>

ou, pour rester sur debian, passer clamav dessus<br>

</blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ah oui, je m'etais mis en tête que c'était un emplacement sur disque, du
fait qu'il y avait des exécutables. J'ai pas fait attention que le chemin commençait par /dev .

Il n'y a aucune chance d'avoir encore une copie de ces exécutables ?



Le mer. 31 mai 2023 à 21:32, Belaïd <[email protected]> a écrit :

Bonsoir,

apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un emplacement mémoire

Le mer. 31 mai 2023 à 21:26, Michel Verdier <[email protected]> a écrit :

Le 31 mai 2023 Dethegeek a écrit :

Une suggestion : chercher ces exécutables dans les paquets de Debian. Si >> > aucun exécutable n'est supposé être présent sans appartenir à un paquet

du

(ou des) dépôt(s) configures dans apt, alors ça donnera des indices
supplémentaires

apt-file search /dev/shm
ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans
/dev/shm (ni même dans /dev je pense ?)

Ensuite, si les exécutables suspects sont encore disponibles quelque

part

(dans un backup par exemple), ce serait intéressant de les soumettre au >> > service en ligne virustotal.

ou, pour rester sur debian, passer clamav dessus

<div dir="auto">Ah oui, je m&#39;etais mis en tête que c&#39;était un emplacement sur disque, du fait qu&#39;il y avait des exécutables. J&#39;ai pas fait attention que le chemin commençait par /dev .<div dir="auto"><br></div><div dir="auto">Il n&#39;
y a aucune chance d&#39;avoir encore une copie de ces exécutables ? <br><div dir="auto"><div dir="auto"><br></div><div dir="auto"><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à 21:32,
Belaïd &lt;<a href="mailto:[email protected]" target="_blank" rel="noreferrer">[email protected]</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="
auto">Bonsoir,<div dir="auto"><br></div><div dir="auto">apt-file search /dev/shm ne donnera rien puisque ce dernier n&#39;est qu&#39;un emplacement mémoire </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à
21:26, Michel Verdier &lt;<a href="mailto:[email protected]" rel="noreferrer noreferrer" target="_blank">[email protected]</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 31
mai 2023 Dethegeek a écrit :<br>

&gt; Une suggestion : chercher ces exécutables dans les paquets de Debian. Si<br>
&gt; aucun exécutable n&#39;est supposé être présent sans appartenir à un paquet du<br>
&gt; (ou des) dépôt(s) configures dans apt, alors ça donnera des indices<br> &gt; supplémentaires<br>

apt-file search /dev/shm<br>
ne renvoie rien, mais on s&#39;en doutait il n&#39;y a pas d&#39;exécutable dans<br>
/dev/shm (ni même dans /dev je pense ?)<br>

&gt; Ensuite, si les exécutables suspects sont encore disponibles quelque part<br>
&gt; (dans un backup par exemple), ce serait intéressant de les soumettre au<br>
&gt; service en ligne virustotal.<br>

ou, pour rester sur debian, passer clamav dessus<br>

</blockquote></div>
</blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le site est motorisé avec PHP. Il y a en natif ou via un extension des fonctionnalités de gestion de mémoire partagée.

Je pense que chercher dans le code du site des appels à ces fonctions
pourrait être utile.

https://www.php.net/manual/en/book.shmop.php

Le mer. 31 mai 2023 à 22:00, Basile Starynkevitch <[email protected]>
a écrit :

On 5/31/23 21:53, Dethegeek wrote:

Ah oui, je m'etais mis en tête que c'était un emplacement sur disque, du fait qu'il y avait des exécutables. J'ai pas fait attention que le chemin commençait par /dev .

Il n'y a aucune chance d'avoir encore une copie de ces exécutables ?

Non. /dev/shm/ est documenté en https://www.man7.org/linux/man-pages/man7/shm_overview.7.html et https://www.man7.org/linux/man-pages/man3/shm_open.3.html

Le mer. 31 mai 2023 à 21:32, Belaïd <[email protected]> a écrit :

Bonsoir,

apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un
emplacement mémoire

Le mer. 31 mai 2023 à 21:26, Michel Verdier <[email protected]> a écrit :

Le 31 mai 2023 Dethegeek a écrit :

Une suggestion : chercher ces exécutables dans les paquets de Debian. >>> Si
aucun exécutable n'est supposé être présent sans appartenir à un

paquet du

(ou des) dépôt(s) configures dans apt, alors ça donnera des indices >>> > supplémentaires

apt-file search /dev/shm
ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans
/dev/shm (ni même dans /dev je pense ?)

Ensuite, si les exécutables suspects sont encore disponibles quelque

part

(dans un backup par exemple), ce serait intéressant de les soumettre au >>> > service en ligne virustotal.

ou, pour rester sur debian, passer clamav dessus

--

Basile Starynkevitch <[email protected]> <[email protected]>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

<div dir="auto">Le site est motorisé avec PHP. Il y a en natif ou via un extension des fonctionnalités de gestion de mémoire partagée. <div dir="auto"><br></div><div dir="auto">Je pense que chercher dans le code du site des appels à ces fonctions
pourrait être utile. </div><div dir="auto"><br></div><div dir="auto"><a href="https://www.php.net/manual/en/book.shmop.php">https://www.php.net/manual/en/book.shmop.php</a><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">
Le mer. 31 mai 2023 à 22:00, Basile Starynkevitch &lt;<a href="mailto:[email protected]" rel="noreferrer noreferrer" target="_blank">[email protected]</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;
border-left:1px #ccc solid;padding-left:1ex">



<div>
<p><br>
</p>
<div>On 5/31/23 21:53, Dethegeek wrote:<br>
</div>
<blockquote type="cite">

<div dir="auto">Ah oui, je m&#39;etais mis en tête que c&#39;était un
emplacement sur disque, du fait qu&#39;il y avait des exécutables.
J&#39;ai pas fait attention que le chemin commençait par /dev .
<div dir="auto"><br>
</div>
<div dir="auto">Il n&#39;y a aucune chance d&#39;avoir encore une copie
de ces exécutables ? <br>
<div dir="auto">
<div dir="auto"><br>
</div>
<div dir="auto"><br>
</div>
</div>
</div>
</div>
</blockquote>
<p><br>
</p>
<p>Non. /dev/shm/ est documenté en
<a href="https://www.man7.org/linux/man-pages/man7/shm_overview.7.html" rel="noreferrer noreferrer noreferrer" target="_blank">https://www.man7.org/linux/man-pages/man7/shm_overview.7.html</a> et
<a href="https://www.man7.org/linux/man-pages/man3/shm_open.3.html" rel="noreferrer noreferrer noreferrer" target="_blank">https://www.man7.org/linux/man-pages/man3/shm_open.3.html</a><br>
</p>
<blockquote type="cite"><br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à 21:32,
Belaïd &lt;<a href="mailto:[email protected]" rel="noreferrer noreferrer noreferrer noreferrer" target="_blank">[email protected]</a>&gt;
a écrit :<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto">Bonsoir,
<div dir="auto"><br>
</div>
<div dir="auto">apt-file search /dev/shm ne donnera rien
puisque ce dernier n&#39;est qu&#39;un emplacement mémoire </div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à
21:26, Michel Verdier &lt;<a href="mailto:[email protected]" rel="noreferrer noreferrer noreferrer noreferrer noreferrer" target="_blank">[email protected]</a>&gt;
a écrit :<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 31
mai 2023 Dethegeek a écrit :<br>
<br>
&gt; Une suggestion : chercher ces exécutables dans les
paquets de Debian. Si<br>
&gt; aucun exécutable n&#39;est supposé être présent sans
appartenir à un paquet du<br>
&gt; (ou des) dépôt(s) configures dans apt, alors ça
donnera des indices<br>
&gt; supplémentaires<br>
<br>
apt-file search /dev/shm<br>
ne renvoie rien, mais on s&#39;en doutait il n&#39;y a pas
d&#39;exécutable dans<br>
/dev/shm (ni même dans /dev je pense ?)<br>
<br>
&gt; Ensuite, si les exécutables suspects sont encore
disponibles quelque part<br>
&gt; (dans un backup par exemple), ce serait intéressant
de les soumettre au<br>
&gt; service en ligne virustotal.<br>
<br>
ou, pour rester sur debian, passer clamav dessus<br>
<br>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
<pre cols="72">--
Basile Starynkevitch <a href="mailto:[email protected]" rel="noreferrer noreferrer noreferrer" target="_blank">&lt;[email protected]&gt;</a>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: <a href="http://starynkevitch.net/Basile/" rel="noreferrer noreferrer noreferrer" target="_blank">starynkevitch.net/Basile/</a>

</pre>
</div>

</blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 5/31/23 22:05, Dethegeek wrote:

Le site est motorisé avec PHP. Il y a en natif ou via un extension des fonctionnalités de gestion de mémoire partagée.

Je me permets de rappeler à tous les web programmeurs l'existence d'alternative compilée pour faire du web dynamique:


https://www.webtoolkit.eu/wt

https://coralbits.com/static/onion/

https://ocsigen.org/home/intro.html


ces trois alternatives sont compilées, libres et Européennes (à
l'inverse de PHP,  interprété et Nord américain, canadien je crois).


Ocsigen est même majoritairement français (Vincent Beulat). Il est écrit
en Ocaml dont l'auteur est Xavier Leroy, professeur au Collège de France



--
Basile Starynkevitch <[email protected]>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ça, ça couvrira la question du remplacement du logiciel existant puisqu'il
a été dit qu'il est obsolète.

Pour le moment il s'agit de savoir si il y a bien eu une pénétration dans
le serveur.

Le mer. 31 mai 2023 à 22:14, Basile Starynkevitch <[email protected]>
a écrit :

On 5/31/23 22:05, Dethegeek wrote:

Le site est motorisé avec PHP. Il y a en natif ou via un extension des fonctionnalités de gestion de mémoire partagée.

Je me permets de rappeler à tous les web programmeurs l'existence d'alternative compilée pour faire du web dynamique:

https://www.webtoolkit.eu/wt

https://coralbits.com/static/onion/

https://ocsigen.org/home/intro.html

ces trois alternatives sont compilées, libres et Européennes (à
l'inverse de PHP, interprété et Nord américain, canadien je crois).

Ocsigen est même majoritairement français (Vincent Beulat). Il est écrit en Ocaml dont l'auteur est Xavier Leroy, professeur au Collège de France

--
Basile Starynkevitch <[email protected]>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

<div dir="auto">Ça, ça couvrira la question du remplacement du logiciel existant puisqu&#39;il a été dit qu&#39;il est obsolète.<div dir="auto"><br></div><div dir="auto">Pour le moment il s&#39;agit de savoir si il y a bien eu une pénétration dans
le serveur.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 31 mai 2023 à 22:14, Basile Starynkevitch &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; a écrit :<br></div><blockquote class=
"gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
On 5/31/23 22:05, Dethegeek wrote:<br>
&gt; Le site est motorisé avec PHP. Il y a en natif ou via un extension des <br>
&gt; fonctionnalités de gestion de mémoire partagée.<br>


Je me permets de rappeler à tous les web programmeurs l&#39;existence <br> d&#39;alternative compilée pour faire du web dynamique:<br>


<a href="https://www.webtoolkit.eu/wt" rel="noreferrer noreferrer" target="_blank">https://www.webtoolkit.eu/wt</a><br>

<a href="https://coralbits.com/static/onion/" rel="noreferrer noreferrer" target="_blank">https://coralbits.com/static/onion/</a><br>

<a href="https://ocsigen.org/home/intro.html" rel="noreferrer noreferrer" target="_blank">https://ocsigen.org/home/intro.html</a><br>


ces trois alternatives sont compilées, libres et Européennes (à <br> l&#39;inverse de PHP,  interprété et Nord américain, canadien je crois).<br>


Ocsigen est même majoritairement français (Vincent Beulat). Il est écrit <br>
en Ocaml dont l&#39;auteur est Xavier Leroy, professeur au Collège de France<br>



-- <br>
Basile Starynkevitch                  &lt;<a href="mailto:[email protected]" target="_blank" rel="noreferrer">[email protected]</a>&gt;<br>
(only mine opinions / les opinions sont miennes uniquement)<br>
92340 Bourg-la-Reine, France<br>
web page: <a href="http://starynkevitch.net/Basile/" rel="noreferrer noreferrer" target="_blank">starynkevitch.net/Basile/</a><br>

</blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Ce fil de discussion m'a fait me rappeler qu'il y a quelque temps
j'avais eu des détections de fichiers suspects par rkhunter :

Subject: Cron<root@...> /root/bin/rkhunter.sh

Warning: Suspicious file types found in /dev:
/dev/shm/ShM.c5fa4b64H8dd08c52: data

/root/rkhunter.sh : /tmp/chkrkhunter # /root/chkrkhunter.ref
pour voir rkhunter complet faire :
/usr/bin/rkhunter --check

lsof montre que ces fichiers qui ont les droits www-data sont utilisés
par des process apache2

J'ai depuis filtré ces messages dans rkhunter.conf   en considérant
qu'il me semblait normal que apache utilise le dispositif de mémoire
partagée et donc que c'était des faux positifs de rkhunter.

Francois Mescam

Le 31/05/2023 à 09:55, BERTRAND Joël a écrit :

Bonjour à tous,

Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Bien cordialement,

JB

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Ce fil de discussion m'a fait me rappeler qu'il y a quelque temps
j'avais eu des détections de fichiers suspects par rkhunter :</p>
<pre>Subject: Cron <a class="moz-txt-link-rfc2396E" href="mailto:root@...">&lt;root@...&gt;</a> /root/bin/rkhunter.sh

Warning: Suspicious file types found in /dev:
/dev/shm/ShM.c5fa4b64H8dd08c52: data

/root/rkhunter.sh : /tmp/chkrkhunter # /root/chkrkhunter.ref
pour voir rkhunter complet faire :
/usr/bin/rkhunter --check
</pre>
<p>lsof montre que ces fichiers qui ont les droits www-data sont
utilisés par des process apache2</p>
<p>J'ai depuis filtré ces messages dans rkhunter.conf   en
considérant qu'il me semblait normal que apache utilise le
dispositif de mémoire partagée et donc que c'était des faux
positifs de rkhunter.</p>
<pre class="moz-signature" cols="72">Francois Mescam</pre>
<div class="moz-cite-prefix">Le 31/05/2023 à 09:55, BERTRAND Joël a
écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<pre class="moz-quote-pre" wrap=""> Bonjour à tous,

Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange :

/dev/shm/hwm

avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.

J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).

Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant.

Bien cordialement,

JB



</pre>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)