rssLink RSS for all categories
 
icon_orange
icon_green
icon_green
icon_red
icon_red
icon_green
icon_green
icon_orange
icon_red
icon_red
icon_green
icon_green
icon_green
icon_blue
icon_orange
icon_red
icon_green
icon_blue
icon_orange
icon_red
icon_green
icon_red
icon_green
icon_blue
icon_orange
icon_red
icon_green
icon_blue
icon_green
icon_blue
icon_red
icon_green
 

FS#6222 — Vague de hack / backdoor injection

Attached to Project— Serveurs dédiés
Incident
ALL
CLOSED
100%


Nous venons de suspendre une centaines de machines infecté par un backdoor et dont la release n'était pas à jour.

La faille utilisé semble venir de proftpd qu OVH avait déjà patché en novembre 2011 lors de l'annonce de la faille.

Si vous utilisez ce logiciel sur votre serveur dédié vous devez immédiatement vérifier que vous disposez bien de la dernière version: 1.3.4a
Si vous avez une release 2 OVH vous pouvez effectuer le patch all: http://guide.ovh.com/ReleasePatchSecurite

En plus si votre serveur n'est pas une distribution de virtualisation, vérifiez qu'il est bien booté sur le dernier bzImage:
http://guide.ovh.com/KernelNetboot

Les backdoors localisé pour le moment dans le dossier /tmp:
dt , dtdss, barbut.osx.ppc, barbut1, barbut1.i386, barbut6

Nous avons pu constater que sur certaines serveurs un apache3 était visible dans le ps auxxxwwfffff .

Si votre serveur n'est pas infecté et que vous constatez des scan's en provenance de serveurs avec une IP OVH n'hésitez pas de créer un ticket incident en fournissant l'IP et des logs daté afin qu'on puisse intervenir.


Date:  Thursday, 05 January 2012, 20:56PM
Reason for closing:  Done