Aujourd'hui, j'ai remarqué un taux de demande élevé inhabituel sur le serveur Web Apache et également un trafic réseau entrant assez élevé. Après avoir vérifié la page mod_status d'Apache, j'ai trouvé que les URL incriminées provenaient du chemin www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/
. Et en effet, j'y ai trouvé plusieurs scripts PHP piratés (obscurcis).
A également remarqué un processus étrange exécuté par l'utilisateur de www-data:
www-data 7300 10.8 0.1 2122900 18768 ? Ssl Jul11 121:47 /usr/bin/host
La vérification a /proc/7300/cmdline
révélé qu'il s'agit bien du /usr/bin/host
binaire d' origine . netstat -anp
a montré qu'il y avait de nombreuses connexions HTTP ouvertes, donc en quelque sorte ce binaire est abusé. debsums
a confirmé que la somme de contrôle binaire était OK. Comme le processus était exécuté sous www-data user, je n'avais aucune raison de croire que le serveur lui-même était compromis.
Comment ce binaire est-il abusé?
EDIT: Cette question n'est pas large "comment faire face à un serveur compromis". Plutôt une question (et déjà une réponse) sur un type spécifique d'abus, comment est-elle techniquement réalisée, car ce cas particulier est assez créatif dans son fonctionnement. Il semble que cela soit sauvage depuis plusieurs années maintenant (anciens fils et questions de 2012) et je l'ai rencontré cette semaine.