Project

General

Profile

Actions

Demande #6500

closed

VM lamp piratée (exloitation d'une faille SPIP) pour miner du bitcoin ?

Added by pitchum . 27 days ago. Updated 8 days ago.

Status:
Résolu
Priority:
Urgente
Assignee:
-
Category:
-
Target version:
Start date:
09/09/2024
Due date:
% Done:

0%

Estimated time:
Actions #1

Updated by pitchum . 26 days ago

D'après la supervision, depuis hier après-midi, la VM lamp a une charge élevée et la swap saturée.

La swap est consommée par des processus "crond" dont j'ai du mal à trouver l'origine. lsof indique que ce "crond" se trouve dans un dossier /dev/shm/.ICE-Unix/.dev/.
Dans ce dossier (suspect), on trouve aussi un fichier de configuration qui mentionne "url": "pool.supportxmr.com:3333".
Une rapide recherche m'oriente vers un projet github nommé xmrig de type "CryptoNight and GhostRider unified CPU/GPU miner" (je sais pas ce que c'est).

=(^-^)=root@lamp:/etc# pgrep -af crond
171873 ./crond
172205 ./crond
173988 ./crond
174511 ./crond
174681 ./crond

=(^-^)=root@lamp:/etc# lsof -p 171873
COMMAND    PID     USER   FD      TYPE DEVICE SIZE/OFF     NODE NAME
crond   171873 www-data  cwd       DIR  253,0     4096        2 /
crond   171873 www-data  rtd       DIR  253,0     4096        2 /
crond   171873 www-data  txt       REG   0,24  7031008        7 /dev/shm/.ICE-Unix/.dev/crond (deleted)
crond   171873 www-data    0r     FIFO   0,13      0t0 25059943 pipe
crond   171873 www-data    1w      CHR    1,3      0t0        4 /dev/null
crond   171873 www-data    2w      CHR    1,3      0t0        4 /dev/null
crond   171873 www-data    3w      CHR    1,3      0t0        4 /dev/null
crond   171873 www-data    4r      CHR    1,9      0t0        9 /dev/urandom
crond   171873 www-data    5u  a_inode   0,14        0     9694 [eventpoll:8,10,11,12,13]
crond   171873 www-data    6r     FIFO   0,13      0t0 25061490 pipe
crond   171873 www-data    7w     FIFO   0,13      0t0 25061490 pipe
crond   171873 www-data    8r     FIFO   0,13      0t0 25061489 pipe
crond   171873 www-data    9w     FIFO   0,13      0t0 25061489 pipe
crond   171873 www-data   10u  a_inode   0,14        0     9694 [eventfd:2]
crond   171873 www-data   11u  a_inode   0,14        0     9694 [eventfd:3]
crond   171873 www-data   12r  a_inode   0,14        0     9694 inotify
crond   171873 www-data   13u  a_inode   0,14        0     9694 [eventfd:4]
crond   171873 www-data   14r      CHR    1,3      0t0        4 /dev/null

=(^-^)=root@lamp:/etc# ll /dev/shm/.ICE-Unix/.dev/
total 6900
-rw-r--r-- 1 www-data www-data     100 25 févr.  2023 a.sh
-rw-r--r-- 1 www-data www-data      55 25 févr.  2023 b
-rw-r--r-- 1 www-data www-data    2450  8 sept. 14:59 config.json
-rwxr-xr-x 1 www-data www-data 7031008  2 févr.  2023 crond
-rwxr-xr-x 1 www-data www-data   13168 25 févr.  2023 libprocesshider.so
-rw-r--r-- 1 www-data www-data    3479 25 févr.  2023 p.c

Avant de faire le ménage, j'ai fait une copie du dossier /dev/shm/.ICE-Unix/.dev/ dans /root/agir_1500/

PS: pour info, avant de faire le ménage, j'avais vu des process /usr/sbin/client correspondant à un exécutable qui n'existe pas vraiment.

Actions #2

Updated by pitchum . 24 days ago

  • Subject changed from VM lamp piratée pour miner du bitcoin ? to VM lamp piratée (exloitation d'une faille SPIP) pour miner du bitcoin ?
  • Status changed from Nouveau to Confirmé

Nous avons probablement été victimes de notre SPIP pas à jour (4.1.9+dfsg-1+deb12u4)

https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-3-2-SPIP-4-2-16-SPIP-4-1-18.html

Malheureusement, il n'y a pas (encore) de version corrective disponible dans les dépôts Debian stable/bookworm, uniquement dans testing/trixie.

L'article de blog indique :

Cette faille est prise en charge par l’écran de sécurité, voir la documentation sur spip.net.

La faille concerne aussi les branches non maintenues de SPIP, notamment SPIP4.0, qui utilisent le plugin bigup. Vous pouvez sécuriser ces sites à l’aide de la dernière version de l’écran de sécurité. Comme toujours, il est fortement recommandé de mettre à jour vers une version maintenue de SPIP.

Donc dans l'immédiat, j'ai au moins mis à jour l'écran de sécurité :

cd /etc/spip/
rm ecran_securite.php
wget https://git.spip.net/spip-contrib-outils/securite/-/raw/master/ecran_securite.php

On a désormais la dernière version (v1.6.3) de cet écran de sécurité : https://www.chapril.org/?test_ecran_securite=1

Je cherche maintenant un moyen d'avoir un package spip plus à jour sur notre bookworm...

Actions #3

Updated by Romain H. 24 days ago

Il y avait encore des processus /usr/sbin/client avec du trafic réseau.
Ça l'air d'être des script perl vu ce qu'il y a dans /proc/, je les ai tués, après reboot apache2 ça a l'air ok.

Une partie de ce qu'il y a dans /dev/shm/.ICE-Unix/.dev/ permet de cacher des process mais il faut être root pour l'utiliser et ils ont pas l'air d'avoir réussi à la devenir.

Actions #4

Updated by Romain H. 24 days ago

le temps qu'on vérifie que c'est bien corrigé, j'ai bloqué la méthode POST dans le virtualhost qui a l'être nécessaire pour exploiter la vulnérabilité

Actions #5

Updated by pitchum . 24 days ago

J'ai packagé la v4.1.18 et je l'ai installée. J'ai l'impression que tout va bien pour l'instant.
(si vraiment tout va bien, il faudra penser à supprimer le snapshot sur persan : vmsnap rm lamp vm-lamp__snap_20240911_1915_pre_upgrade_spip)

La doc rapide pour recommencer un nouveau paquet : https://admin.chapril.org/admin/services/www.chapril.org/debianize

Actions #6

Updated by pitchum . 8 days ago

  • Status changed from Confirmé to Résolu

Je viens de retiré le contournement de Romain dans la config apache.
Croisons-les doigts, et soyons vigilants...

Actions

Also available in: Atom PDF