Bon, alors ce matin, et oui, ca arrive, mon premier hack

Alors, j'ai trouvé un rootkit (chkrootkit roulaize), dans /sbin/init, ils ont viré une chiée de progs dont apache, mysql et cie... donc ils ont eu le moyen d'exécuter des commandes d'une manière ou d'une autre.

Je penche pour une faille webmin, sans en être encore sur, mais apache/php étaient tous les deux à jour, j'étais en safe_mode ... postfix et sshd aussi étaient à jour, et j'avais testé mon serveur à coup de nessus, donc j'étais +- clean...

Soit, je vais lire les logs pour essayer de trouver comment ils ont fait

Ah, et y a pas de ftp donc de ce côté on m'a pas piraté

MHmmm j'ai été voir ton webmin pourtant c'est only ssl

Il était à jour? j'ai installé une 1.180 y'a pas si longtemps ..

oui, ssl only... Enfin, je l'ai désactivé temporairement, je vais zieuter les logs, mais webmin était dans ma todolist, je pense qu'il avait peut être 2 mois, j'ai ptre loupé une mise à jour de ce côté...

je me lance un gros scan avec nessus

bah ca arrive, déjà il a pas réussi à se logger en ssh, sinon j'aurais plus rien sur ma machine

donc dans mon malheur, il a touché à aucune donnée sensible, j'ai rien perdu, sauf du temps

Enfin, le mec il y tient à mon serveur, il essaie toutes les failles possible depuis une bonne semaine, dimanche il avait réussi à planter sshd et postfix, je sais pas comment non plus

enfin, il a testé tous les rootkits apparemment

Il vient d'où ? Moi je me souviens une fois j'avais envoyé un mail de plainte à l'abuse d'un provider allemand, logs à l'appui bien sûr (tentative de login ssh), et l'isp a répondu en disant qu'ils envoyaient un avertissement au client et qu'ils prendraient les mesures nécessaires si ça se reproduisait.

il est parmi nous

je jure sur la tête de mon ptit ovh que c pas moi

au fait zion, tu compile des truc en ce moment ou autre?
ca rame pas mal je trouve

il a dit qu'il se scannait avec nessus, donc c'est normal

Salut! C'était pas bien longtemps après que je suis passé dire bonjour, je dirais. Quand j'ai voulu repasser(peut-être une heure plus tard) y avait déjà plus rien.
Je suis la dernière personne à avoir vu le site vivant
(j'ai touché à rien, je jure!)

Bon, le vilain monsieur a cleané les logs, entre 3h du mat et 11h, y a plus rien, il a fait un nettoyage par le vide...

J'ai checké, plus un seul fichier "corrompu" sur ma machine normalement, les serveurs importants ont été réinstallés au cas ou quand même, et j'ai désactivé webmin pour le moment, je suppose que ca vient de la

(oui, nessus ca tue un peu le serveur)

tu peux pas demander des logs de connexion à ton hébergeur?

Rahlala, tout ca pour installer un serveur IRC en plus... J'ai tout son rootkit, c'est du propre...

Bon, je vais réduire les droits sur gcc et wget, plus question d'y accéder si t'es pas root non mais

ouch 'autant chercher une aiguille dans un meule de foin'

pk faire tomber le site alors qu'il aurait pu le faire discrétement ? hacker de merde ça encore...

lol ! c pas tres malin de sa part au mec, il aurait peu l'installer sans couper tes serveurs, à la limite ce serait passé inapercu quelques jours.. mais en coupant tout, il est pas tres malin le gus!