![\"\"](\"https:\/\/bivouhack.fr\/wp-content\/uploads\/2022\/02\/Capture3.png\")
<\/a>Evidemment, c’est un peu con comme technique et dans l’immense majorit\u00e9 des cas, ils suffit d’avoir ses softs plus ou moins \u00e0 jour pour s’en pr\u00e9munir. Mais les rapaces ne s’arr\u00eatent jamais de scanner et ce n’est qu’une question de temps avant de se faire niquer.<\/p>\n\n\n\n
Je suis une victime<\/h2>\n\n\n\n
Et justement, je me suis fait niquer il y a peu. Tout a commenc\u00e9 le 18 janvier quand j’ai re\u00e7u un mail de Hostinger, mon hebergeur. Ils proposent un tr\u00e8s bon service mais sur ce coup l\u00e0, ils ont \u00e9t\u00e9 nuls \u00e0 chier.<\/p>\n\n\n\n Forc\u00e9ment, je leur demande des pr\u00e9cisions suppl\u00e9mentaires et conteste l’accusation. Le r\u00e9sultat est clair, je le suis fait pirater, c’est de ma faute et c’est \u00e0 moi d’y rem\u00e9dier tout seul.<\/p>\n\n\n\n Bon, en vrai je comprend leur politique de gestion des attaques cyber, l’int\u00e9r\u00eat d’avoir un VPS est de pouvoir tout g\u00e9rer, y compris la s\u00e9curit\u00e9. Si ils contr\u00f4laient la s\u00e9curit\u00e9 de mon VPS, je n’aurais plus \u00e0 100% la main dessus. <\/p>\n\n\n\n Toujours est-il que maintenant il faut se retrousser les manches pour comprendre un peu plus. Alors qu’est-ce qu’on a ?<\/p>\n\n\n\n Ce copi\u00e9\/coll\u00e9 d\u00e9gueulasse donne en fait pas mal d’infos sur mon probl\u00e8me. On a affaire \u00e0 un programme appel\u00e9 kdevtmpfsi qui pompe 99.7% de mon CPU.<\/p>\n\n\n\n En tapant kdevtmpfsi dans Kinsing a \u00e9volu\u00e9 au fil du temps. C’est normal : \u00e0 chaque fois qu’une faille exploit\u00e9e par le malware est r\u00e9par\u00e9e, il faut passer ailleurs, c’est le jeu du chat et la souris.<\/p>\n\n\n\n Les malwares ont \u00e0 peu pr\u00e8s toujours les m\u00eames \u00e9tapes de fonctionnement, ce sont les \u00e9tapes du framework MitreATT&CK. Appliqu\u00e9 \u00e0 mon cas, \u00e7a donne \u00e7a :<\/p>\n\n\n\n Et voil\u00e0, on a un joli cryptominer qui fonctionne bien. <\/p>\n\n\n\n Bon en fait, je n’ai pas trouv\u00e9 grand chose sur mon serveur pour mon enqu\u00eate, \u00e0 cause du fait qu’il efface ses traces et que j’ai fait tourn\u00e9 un antivirus, qui a supprimer les fichiers malicieux. Heureusement, des chercheurs en cyber ont faits de belles analyses qui m’ont permit d’\u00e9crire cet article. Liens dans les sources.<\/p>\n\n\n\n Un autre probl\u00e8me est qu’il me manque encore plein d’infos en fait. Comment ils sortaient les cryptos de mon serveur ? Est-ce qu’ils ont install\u00e9s d’autres backdoor sur ma machine ? Est-ce qu’un vrai humain est venu une seule fois sur ma machine ou \u00e9tait-ce 100% automatis\u00e9 ? Est-ce que l’antivirus \u00e0 bien vir\u00e9 toutes les traces de cette saloperie ?<\/p>\n\n\n\n L’antivirus a bien d\u00e9sactiv\u00e9 le cryptominer, aucun probl\u00e8me. Mais ma machine a \u00e9t\u00e9 compromise, et dans le principe m\u00eame, je ne peux plus lui faire confiance. Je pense que l’acc\u00e8s \u00e0 un serveur est pr\u00e9cieux et que les attaquants peuvent avoir mis en place d’autres backdoor pour garder la main sur ma machine, possiblement pour un futur usage (un autre cryptominer, du spam de mail, etc.).<\/p>\n\n\n\n Le plus simple est donc la purification par le feu : je reset mon VPS \ud83d\ude42<\/p>\n\n\n\n Tout le monde trouve \u00e7a cool internet, ou au moins joli. C’est vrai que c’est joli le web, mais c’est comme quand on voit un beau gratte-ciel d’acier et de verre : l’observateur ext\u00e9rieur ne voit pas les centaines de kilom\u00e8tres de canalisation sales et peupl\u00e9es de cafards qui sont pourtant n\u00e9cessaires \u00e0 l’existence du … <\/p>\n<\/a>\r\n\r\nBoonjour,\r\n\r\nJ'esp\u00e8re que vous allez bien.\r\n\r\nJ'ai v\u00e9rifi\u00e9 que la raison de la suspension de votre plan d'h\u00e9bergement est due \u00e0 un abus.\r\n\r\nVotre serveur VPS est pirat\u00e9 et infect\u00e9 par un virus \/ cheval de Troie (SPAM, attaques DOS provenant du serveur).\r\n\r\nLe VPS est infect\u00e9 par un malware qui peut \u00eatre vu \u00e0 partir de la liste des processus. PID USER PR NI VIRT RES SHR S %CPU %MEM TIME COMMAND 1805695 www-data 20 0 513744 265436 884 S 99.7 25.3 17592:37 \/dev\/shm\/kdevtmpfsi\r\n\r\nVeuillez scanner le VPS avec un logiciel antivirus.\r\n\r\nNous recommandons clamav\r\n\r\nNotre soci\u00e9t\u00e9 s'efforce d'assurer la s\u00e9curit\u00e9 de l'Internet et la meilleure exp\u00e9rience utilisateur, de sorte que toute action abusive peut entra\u00eener une suspension. Vous pouvez trouver cela dans nos conditions de service.\r\n\r\nJe ne peux annuler la suspension de votre compte d'h\u00e9bergement que si vous acceptez de supprimer tout le contenu signal\u00e9 auparavant et de ne plus le mettre en ligne. N'oubliez pas que nous ne pouvons annuler votre h\u00e9bergement que deux fois, la troisi\u00e8me suspension \u00e9tant d\u00e9finitive.\r\n\r\nN'h\u00e9sitez pas \u00e0 \u00e9crire de nouveau en cas de besoin.\r\n\r\nCordialement,\r\n<\/code><\/pre>\n\n\n\nPID USER PR NI VIRT RES SHR S %CPU %MEM TIME COMMAND \n1805695 www-data 20 0 513744 265436 884 S 99.7 25.3 17592:37 \/dev\/shm\/kdevtmpfsi<\/code><\/pre>\n\n\n\ngoogle<\/s> startpage, le nom kinsing revient tout le temps. Kinsing est un malware qui existe depuis 2019 et qui a une fonctionnalit\u00e9 principale : installer le cryptominer kdevtmpfsi. Le but est d’ainsi d’utiliser la capacit\u00e9 de calcul de la machine compromise pour miner de la crypto et renvoyer cette douce thune au pirate.<\/p>\n\n\n\n<\/a>Le fonctionnement de Kinsing<\/h2>\n\n\n\n
Des commandes utiles (ubuntu) pour mon investigation :\r\n- liste des processus : top\r\n- ports utilis\u00e9s : netstat -tlpm\r\n- afficher la crontab de www-data : crontab -u www-data -l<\/code><\/pre>\n\n\n\nRem\u00e9diation<\/h2>\n\n\n\n
Sources<\/h2>\n\n\n\n