Demande #6500
closedVM lamp piratée (exloitation d'une faille SPIP) pour miner du bitcoin ?
0%
Updated by pitchum . 26 days ago
D'après la supervision, depuis hier après-midi, la VM lamp a une charge élevée et la swap saturée.
La swap est consommée par des processus "crond" dont j'ai du mal à trouver l'origine. lsof
indique que ce "crond" se trouve dans un dossier /dev/shm/.ICE-Unix/.dev/
.
Dans ce dossier (suspect), on trouve aussi un fichier de configuration qui mentionne "url": "pool.supportxmr.com:3333"
.
Une rapide recherche m'oriente vers un projet github nommé xmrig de type "CryptoNight and GhostRider unified CPU/GPU miner" (je sais pas ce que c'est).
=(^-^)=root@lamp:/etc# pgrep -af crond 171873 ./crond 172205 ./crond 173988 ./crond 174511 ./crond 174681 ./crond =(^-^)=root@lamp:/etc# lsof -p 171873 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME crond 171873 www-data cwd DIR 253,0 4096 2 / crond 171873 www-data rtd DIR 253,0 4096 2 / crond 171873 www-data txt REG 0,24 7031008 7 /dev/shm/.ICE-Unix/.dev/crond (deleted) crond 171873 www-data 0r FIFO 0,13 0t0 25059943 pipe crond 171873 www-data 1w CHR 1,3 0t0 4 /dev/null crond 171873 www-data 2w CHR 1,3 0t0 4 /dev/null crond 171873 www-data 3w CHR 1,3 0t0 4 /dev/null crond 171873 www-data 4r CHR 1,9 0t0 9 /dev/urandom crond 171873 www-data 5u a_inode 0,14 0 9694 [eventpoll:8,10,11,12,13] crond 171873 www-data 6r FIFO 0,13 0t0 25061490 pipe crond 171873 www-data 7w FIFO 0,13 0t0 25061490 pipe crond 171873 www-data 8r FIFO 0,13 0t0 25061489 pipe crond 171873 www-data 9w FIFO 0,13 0t0 25061489 pipe crond 171873 www-data 10u a_inode 0,14 0 9694 [eventfd:2] crond 171873 www-data 11u a_inode 0,14 0 9694 [eventfd:3] crond 171873 www-data 12r a_inode 0,14 0 9694 inotify crond 171873 www-data 13u a_inode 0,14 0 9694 [eventfd:4] crond 171873 www-data 14r CHR 1,3 0t0 4 /dev/null =(^-^)=root@lamp:/etc# ll /dev/shm/.ICE-Unix/.dev/ total 6900 -rw-r--r-- 1 www-data www-data 100 25 févr. 2023 a.sh -rw-r--r-- 1 www-data www-data 55 25 févr. 2023 b -rw-r--r-- 1 www-data www-data 2450 8 sept. 14:59 config.json -rwxr-xr-x 1 www-data www-data 7031008 2 févr. 2023 crond -rwxr-xr-x 1 www-data www-data 13168 25 févr. 2023 libprocesshider.so -rw-r--r-- 1 www-data www-data 3479 25 févr. 2023 p.c
Avant de faire le ménage, j'ai fait une copie du dossier /dev/shm/.ICE-Unix/.dev/
dans /root/agir_1500/
PS: pour info, avant de faire le ménage, j'avais vu des process /usr/sbin/client
correspondant à un exécutable qui n'existe pas vraiment.
Updated by pitchum . 24 days ago
- Subject changed from VM lamp piratée pour miner du bitcoin ? to VM lamp piratée (exloitation d'une faille SPIP) pour miner du bitcoin ?
- Status changed from Nouveau to Confirmé
Nous avons probablement été victimes de notre SPIP pas à jour (4.1.9+dfsg-1+deb12u4)
Malheureusement, il n'y a pas (encore) de version corrective disponible dans les dépôts Debian stable/bookworm, uniquement dans testing/trixie.
L'article de blog indique :
Cette faille est prise en charge par l’écran de sécurité, voir la documentation sur spip.net.
La faille concerne aussi les branches non maintenues de SPIP, notamment SPIP4.0, qui utilisent le plugin bigup. Vous pouvez sécuriser ces sites à l’aide de la dernière version de l’écran de sécurité. Comme toujours, il est fortement recommandé de mettre à jour vers une version maintenue de SPIP.
Donc dans l'immédiat, j'ai au moins mis à jour l'écran de sécurité :
cd /etc/spip/ rm ecran_securite.php wget https://git.spip.net/spip-contrib-outils/securite/-/raw/master/ecran_securite.php
On a désormais la dernière version (v1.6.3) de cet écran de sécurité : https://www.chapril.org/?test_ecran_securite=1
Je cherche maintenant un moyen d'avoir un package spip plus à jour sur notre bookworm...
Updated by Romain H. 24 days ago
Il y avait encore des processus /usr/sbin/client avec du trafic réseau.
Ça l'air d'être des script perl vu ce qu'il y a dans /proc/, je les ai tués, après reboot apache2 ça a l'air ok.
Une partie de ce qu'il y a dans /dev/shm/.ICE-Unix/.dev/ permet de cacher des process mais il faut être root pour l'utiliser et ils ont pas l'air d'avoir réussi à la devenir.
Updated by pitchum . 24 days ago
J'ai packagé la v4.1.18 et je l'ai installée. J'ai l'impression que tout va bien pour l'instant.
(si vraiment tout va bien, il faudra penser à supprimer le snapshot sur persan : vmsnap rm lamp vm-lamp__snap_20240911_1915_pre_upgrade_spip
)
La doc rapide pour recommencer un nouveau paquet : https://admin.chapril.org/admin/services/www.chapril.org/debianize