Sujet: serveur down : les explications
28/02/2005 @ 22:56:23: ovh: serveur down : les explications
A poster par zion :grin: :wink:

Je ne sais pas si c'est encore une attaque ou autre :banzai: , mais le serveur vient tout juste de redevenir dispo en cette heure tardive, donc zion, merci et maintenant tu mérites une bonne nuit de sommeil :smile:

:calin:
28/02/2005 @ 23:01:10: zion: serveur down : les explications
Non, j'ai pas fini... Mais j'en ai un peu marre...

J'ai un super nouvel apache, un php bien secure, un openssh brillant tout neuf, et tout le reste est fermé... Et ces connards ont réussi à envoyer un fichier via apache, à l'exécuter via une faille du kernel et après c'est la fête au village, un mega rootkit de pro (rien à voir avec les autres).

J'ai pas encore réussi à tout cleaner en plus, mais j'ai un nouveau kernel 2.6 tout propre... Et apache va en prendre pleins la gueule après :kiki:

Par contre ce coup-ci j'ai non seulement l'email mais l'ip du mec, une ip sur AOL, et une email sur yahoo... Sur ce, j'ai encore bcp de boulot sur ce * de serveur, j'ai pas encore fini de tout vérifier/corriger :sweat:
28/02/2005 @ 23:04:58: cauet: serveur down : les explications
pour commencer, un petit :

iptables -I INPUT 1 -s ipdumec / rangée -j DROP
iptables -I OUTPUT 1 -d ipdumec / rangée -j DROP

Ca devrais les calmer un peu non?
28/02/2005 @ 23:10:05: zion: serveur down : les explications
bah non... c'est qu'une machine relay je suppose en plus...
28/02/2005 @ 23:13:09: cauet: serveur down : les explications
mouais, probablement..
01/03/2005 @ 02:03:03: zion: serveur down : les explications
Bon, ayé, je filtre pleins de brols avec iptables pour rire quand même, j'ai un kernel flambant neuf, un apache, un sshd et un php flambant neuf, un apache dénudé de pleins de modules au cas ou... etc, etc... J'en ai un peu marre de devoir monter le niveau de sécurité de ma machine à se niveau, on peut même pas faire ce qu'on veut, c'est pénible :ohwell:

Enfin soit, j'ai encore un nouveau joli mot de passe root :dawa:
01/03/2005 @ 09:31:49: Sam: serveur down : les explications
il ne me reste plus qu'à le découvrir :whistle:

:jesors:
01/03/2005 @ 09:32:55: pipo: serveur down : les explications
user: root
pw: les hackerssontdesphenos

:topicalacon:
01/03/2005 @ 09:33:41: Sam: serveur down : les explications
:lol:
01/03/2005 @ 09:56:02: Poire: serveur down : les explications
il sert à quoi le openssh ?
01/03/2005 @ 10:03:54: cauet: serveur down : les explications
Tu veux dire qu'il devrait plutôt utiliser les clefs privées?
01/03/2005 @ 10:40:36: ovh: serveur down : les explications
Login par clés ou par mot de passe ça ne change rien, le port devra être ouvert, par contre on peut modifier ce port et empêcher de se logguer en root, ça c'est déjà mieux :wink: (bien qu'ici ce n'est pas par là qu'ils sont rentrés mais bon)
01/03/2005 @ 12:34:48: zion: serveur down : les explications
Non ca change rien, ils ont créé un utilisateur avec les accès root et qui avait le droit de se logger... Après bon, le fête au village tout ca quoi :kiki:

Poire> :heink:
01/03/2005 @ 13:43:14: Poire: serveur down : les explications
beh il te sert à quoi le openssh ?
01/03/2005 @ 14:58:56: ovh: serveur down : les explications
Bon pour mandrake je ne sais pas, mais moi mes serveurs je les administre en ssh...
01/03/2005 @ 15:14:43: Poire: serveur down : les explications
oui, mais quel rapport avec apache ?
01/03/2005 @ 15:30:25: cauet: serveur down : les explications
il à uploadé un rootkit via apache qu'il à exécuté, après avec un user équivalent à root, c'est la fête au village...
01/03/2005 @ 16:14:04: zion: serveur down : les explications
m'enfin poire :oh:

il a utilisé apache pour uploader un fichier, puis il l'a exécuté (aussi via apache), et a utilisé un exploit de mon kernel pour devenir root. Après quoi il s'est créé un compte full ssh, a changé le mot de passe root et a viré plusieurs mechanismes d'authentification (login root sans pass, super pratique), puis bon, il s'est installé un serveur IRC et un outil de flood SSH pour tous les serveurs SSH locaux.

Je dois dire que LO m'a vachement aidé sur ce coup-ci, merci LO, et sus aux failles apache :kiki: (qui est devenu sage comme un moineau du coup).
01/03/2005 @ 17:05:24: Poire: serveur down : les explications
le rapport entre apache et ssh :tongue:

m'enfin bref
01/03/2005 @ 18:35:06: zion: serveur down : les explications
Benh y en a pas, mais si tu sais exécuter un prog sur la machine via Apache, après c'est la fête, tu te proclames root et c'est la fête dans le slip!

:kiki:

SSH n'a jamais été en cause, mais il l'a utilisé :wink:
Retour