[ALERTE] des hackers accèdent à mon serveur et tous mes comptes

2021-08-12 03:07:24

SOMAIRE

Comment je m'en suis rendu compte
Pourquoi
Mode d'opération
L'ampleur des dégâts
Aider à retrouver de quelle attaque il s'agit
Infos techniques

Comment je m'en suis rendu compte
Tout commence lorsque que je consulta mes mails, je suis tomber sur le mail suivant a priori inoffensif :https://image.noelshack.com/fichiers/2021/32/4/1628729309-img-20210812-024816.jpg. La première chose que je me demande c'est comment on t'il réussi à retrouver mon email ? Après une inspection un peu plus rigoureuse de l'envoyeur, je me suis rendu compte que l'email venait de l'adresse mail de mon serveur ! En me connectant à mon serveur, un message d'erreur s'affiche "No more disk space available", je me rendis compte qu'une instance docker (ne venant pas de moi" avait été dissimulée dans des fous dossiers et prenait toute la place du disque. Je suis ensuite allé voir mes DNS, mon nom de domaine principale avait un serveur mail configuré (h-email.net) et des sous nom de domaine redirigeant vers des newsletter etc...

Pourquoi ?
Comme constaté dans le screenshot, le but est de nous proposer un service d'envoi de masse de mails qui ne seront pas signalés comme spams, et plus largement de revendre tout services webs pouvant passer par les serveurs infectés.

Mode d'opération
Les hackers arrivent à s'attaquer à des serveurs (a l'aide d'une faille encore inconnue), prennant ensuite le contrôle de l'utilisateur root (leur donnant toutes les permissions sur la machine). Il se servent ensuite de ce serveurs pour relayer leurs mails, car avec beaucoup de serveurs différents, si une ip se fait blacklister il en reste pleins.

Des questions restent quand même sans réponse : premièrement, comment se sont ils introduit dans mon serveur, deuxièmement, comment on t il eu accès à mon compte en ligne, ne possédant pas le même mot de passe que le serveur, qui me permet de gérer mes noms de domaines.

L'ampleur des dégâts
Plusieurs de mes comptes sont compromis a cause d'une faille encore inconnue, mon serveur est possiblement contrôlé a distance (bien qu'aucune connection active a un serveur ne soit affichée par netstat).

Aider à retrouver l'origine de l'attaque
Si il y a des fans de CVE qui passent par ici, si vous pouviez m'aider à trouver si il existe des informations sur cette attaque en ligne que nous puissions nous protéger contre ça.
Si des informations utiles sont trouvées, je les ajouterai à ce message..

Infos techniques
Mon serveur tourne sous linux/Ubuntu, il sert principalement de serveur web pour des applications pour la plupart codée en go avec un reverse proxy nginx.

Koselitz

2021-08-12 03:11:30

Sympa ton rapport.

WoawItsHard6

2021-08-12 03:11:32

eh y a des mecs sérieux derrière leur ordi :hap:

9sur10

2021-08-12 03:12:33

Le 12 août 2021 à 03:11:32 :
eh y a des mecs sérieux derrière leur ordi

Trisotin perplexe après un peu de lecture

UncleDolfa

2021-08-12 03:12:42

Pas du tout mon domaine mais si ça peut aider un khey je uphttps://image.noelshack.com/fichiers/2021/24/1/1623706953-45fd998b-e85c-4364-b7d4-136f3eec2477.png

02893102

2021-08-12 03:13:21

Faire une copie des logs + Go Debian, ubuntu c'est pas sérieux :hap:

9sur10

2021-08-12 03:14:02

Le 12 août 2021 à 03:13:21 :
Faire une copie des logs + Go Debian, ubuntu c'est pas sérieux

Ouais j'ai des 10aines de gigas de logs nginx a regarder

WoawItsHard6

2021-08-12 03:14:07

Le 12 août 2021 à 03:12:33 :
Le 12 août 2021 à 03:11:32 :
eh y a des mecs sérieux derrière leur ordi
Trisotin perplexe après un peu de lecture

va jouer à dofus :hap:

divadnibor

2021-08-12 03:15:37

Pas mon domaine mais je up

AutisteForum

2021-08-12 03:16:32

Demande à AntoineForum

9sur10

2021-08-12 03:17:06

Le 12 août 2021 à 03:16:32 :
Demande à AntoineForum

J'ai pensé à lui en écrivant ça

RX6900XTv5

2021-08-12 03:20:27

WireShark

De rien

9sur10

2021-08-12 03:26:59

UPDATE: A la minute même ou le mail à été envoyé, j'ai vu ça dans mon access.log :
37.19.223.220 - - [07/Aug/2021:06:48:37 +0200] "GET / HTTP/1.0" 301 178 "http://[CENSURÃ‰].org/" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.84 Safari/537.36"
Une connection au nom de domaine mentionné dans le mail. Cependant aucun signe d'attaque a priori.

9sur10

2021-08-12 03:28:50

Le 12 août 2021 à 03:20:27 :
WireShark
De rien

Si tu trouves une version cli, j'ai pas d'environnement de bureau

Osef123456789

2021-08-12 03:29:35

la prochaine fois go DEBIAN, fail2ban et iptables correct

9sur10

2021-08-12 04:11:47

Le 12 août 2021 à 03:29:35 :
la prochaine fois go DEBIAN, fail2ban et iptables correct

Merci je connaissais pas fail2ban

Dr11boom

2021-08-12 04:23:38

Khey on a aucune info quasiment on peut pas t'aider
Ce sont des comptes totalement séparé?

9sur10

2021-08-12 04:25:09

Le 12 août 2021 à 04:23:38 :
Khey on a aucune info quasiment on peut pas t'aider
Ce sont des comptes totalement séparé?

Oui totalement séparé, et je préfère ne pas balancer des logs entiers tu vois par ce que y a bcp de choses à censurer

[reCAPTCHA]

2021-08-12 04:28:16

Le 12 août 2021 à 03:20:27 :
WireShark
De rien

Un conoseur et tu conai quali Linux ??????

9sur10

2021-08-12 04:28:34

Le 12 août 2021 à 04:23:38 :
Khey on a aucune info quasiment on peut pas t'aider
Ce sont des comptes totalement séparé?

Mais sinon oui j'ai oublié de préciser que mes mails étaient envoyés depuis une connection POP3 avec une adresse gmail, il reste donc la possibilité que le serveur était tout simplement mal configuré et pouvait relayer des mails. Je l'ai désinstallé comme de toutes façons je ne l'utilisais pas.