Informaticien.be » Ouh le vilain pirate :o
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:17:23,
Par zionBon, alors ce matin, et oui, ca arrive, mon premier hack
Alors, j'ai trouvé un rootkit (chkrootkit roulaize), dans /sbin/init, ils ont viré une chiée de progs dont apache, mysql et cie... donc ils ont eu le moyen d'exécuter des commandes d'une manière ou d'une autre.
Je penche pour une faille webmin, sans en être encore sur, mais apache/php étaient tous les deux à jour, j'étais en safe_mode ... postfix et sshd aussi étaient à jour, et j'avais testé mon serveur à coup de nessus, donc j'étais +- clean...
Soit, je vais lire les logs pour essayer de trouver comment ils ont fait
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:18:09,
Par zionAh, et y a pas de ftp donc de ce côté on m'a pas piraté
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:20:29,
Par cauetMHmmm j'ai été voir ton webmin pourtant c'est only ssl
Il était à jour? j'ai installé une 1.180 y'a pas si longtemps ..
Il était à jour? j'ai installé une 1.180 y'a pas si longtemps ..
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:34:36,
Par zionoui, ssl only... Enfin, je l'ai désactivé temporairement, je vais zieuter les logs, mais webmin était dans ma todolist, je pense qu'il avait peut être 2 mois, j'ai ptre loupé une mise à jour de ce côté...
je me lance un gros scan avec nessus
je me lance un gros scan avec nessus
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:35:41,
Par zionbah ca arrive, déjà il a pas réussi à se logger en ssh, sinon j'aurais plus rien sur ma machine
donc dans mon malheur, il a touché à aucune donnée sensible, j'ai rien perdu, sauf du temps
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:38:46,
Par zionEnfin, le mec il y tient à mon serveur, il essaie toutes les failles possible depuis une bonne semaine, dimanche il avait réussi à planter sshd et postfix, je sais pas comment non plus
enfin, il a testé tous les rootkits apparemment
enfin, il a testé tous les rootkits apparemment
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:42:05,
Par ovhIl vient d'où ? Moi je me souviens une fois j'avais envoyé un mail de plainte à l'abuse d'un provider allemand, logs à l'appui bien sûr (tentative de login ssh), et l'isp a répondu en disant qu'ils envoyaient un avertissement au client et qu'ils prendraient les mesures nécessaires si ça se reproduisait.
Je n'ai rien à voir avec www.ovh.com
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:45:24,
Par cauetje jure sur la tête de mon ptit ovh que c pas moi
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:46:20,
Par cauetau fait zion, tu compile des truc en ce moment ou autre?
ca rame pas mal je trouve
ca rame pas mal je trouve
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 13:51:13,
Par ovhil a dit qu'il se scannait avec nessus, donc c'est normal
Je n'ai rien à voir avec www.ovh.com
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:01:18,
Par H2G2Salut! C'était pas bien longtemps après que je suis passé dire bonjour, je dirais. Quand j'ai voulu repasser(peut-être une heure plus tard) y avait déjà plus rien.
Je suis la dernière personne à avoir vu le site vivant
(j'ai touché à rien, je jure!)
Je suis la dernière personne à avoir vu le site vivant
(j'ai touché à rien, je jure!)
« Nul n'éprouvette en son pays. » (Louise Brown)
Twitter: Quand le besoin est pressant, tous les lieux sont propices.
Twitter: Quand le besoin est pressant, tous les lieux sont propices.
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:04:46,
Par zionBon, le vilain monsieur a cleané les logs, entre 3h du mat et 11h, y a plus rien, il a fait un nettoyage par le vide...
J'ai checké, plus un seul fichier "corrompu" sur ma machine normalement, les serveurs importants ont été réinstallés au cas ou quand même, et j'ai désactivé webmin pour le moment, je suppose que ca vient de la
(oui, nessus ca tue un peu le serveur)
J'ai checké, plus un seul fichier "corrompu" sur ma machine normalement, les serveurs importants ont été réinstallés au cas ou quand même, et j'ai désactivé webmin pour le moment, je suppose que ca vient de la
(oui, nessus ca tue un peu le serveur)
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:06:52,
Par Poiretu peux pas demander des logs de connexion à ton hébergeur?
Dernière édition: 11/02/2005 @ 14:07:11
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
Dernière édition: 11/02/2005 @ 14:07:11
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:08:54,
Par zionRahlala, tout ca pour installer un serveur IRC en plus... J'ai tout son rootkit, c'est du propre...
Bon, je vais réduire les droits sur gcc et wget, plus question d'y accéder si t'es pas root non mais
Bon, je vais réduire les droits sur gcc et wget, plus question d'y accéder si t'es pas root non mais
Je suis le Roy
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:11:44,
Par cauetouch 'autant chercher une aiguille dans un meule de foin'
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:13:22,
Par cauetlol ! c pas tres malin de sa part au mec, il aurait peu l'installer sans couper tes serveurs, à la limite ce serait passé inapercu quelques jours.. mais en coupant tout, il est pas tres malin le gus!
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:16:14,
Par Poirelol ! c pas tres malin de sa part au mec, il aurait peu l'installer sans couper tes serveurs, à la limite ce serait passé inapercu quelques jours.. mais en coupant tout, il est pas tres malin le gus!
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos