il a pas réussi à installer son ssh custom en fait, du coup je suppose qu'il a eu un petit esprit de vengeance a essayer de tout couper

bon, sur ce, ca m'apprendra à laisser gcc et wget accessible à tout le monde aussi, je sais pas comment il a eu un accès shell (non root), mais je penche pour webmin, qui a dégagé de mon serveur

vilain hacker, mauvais hacker, pas de bobo, plus de peur que de mal, circulez y a rien à voir

C'est clair
Mais un serveur irc ça peut servir de moteur de recherche pour warez ou crack, c'est sans doute ça sa motivation ?

t'as des src sur ton serveur ?

en fait c bien là le probleme du firewall software.. tu en aurait un de type hardware en amont il l'a bien profond pour mettre ces daemons à 2 balles..

a moins de hacker le tout, of course.
J'pense que je vais faire pareil, stopper webmin provisoirement, de toute manière, je ne m'en sert quazi pas.

Ca n'a rien à voir avec le fait que le fw soit soft ou hard, ni qu'il soit en amont ou pas, ça n'aurait rien changé je pense.

Par contre, il existe un outil qui s'appelle tripwire, qui permet de vérifier qu'on ne substitue pas les binaires d'origine (il calcule une somme de contrôle et vérifie périodiquement).
http://www.tripwire.org

tripwire je l'ai installé y a qqs minutes, je l'avais pas en fait... sinon j'avais chkrootkit (excellent), et mon bon vieux ssh pour scanner fichier par fichier les différences... plus un gros urpmi bourrin pour tout remplacer, ca pulse bien

poire> oui, j'ai des sources, j'ai une collection de trucs

mickael> J'ai pas de firewall, ca sert à rien dans mon cas, j'ai déjà fermé tout ce qui ne doit pas sortir, firewall ou pas, on rentrera par apache si il a une faille, je suis obligé de le laisser passer...

bon, par contre php a un soucis, il a pas envie d'envoyer un mail via postfix, du moins postfix en a pas envie... plus de notifications pour le moment

ca c'est pas pratique dis donc

bon, je continue l'enquête, j'ai trouvé un sniffer en plus du backdoor

il avait infecté /sbin/init, ca c'était le backdoor

puis y avait un sniffer qui loggait tout dans un fichier... ce que je ne comprends donc pas, c'est pourquoi ils ont tout bousillé alors, si ils voulaient me piquer des codes ou autre

un morceau de la faille utilisée, c'est un exploit root de perl, maintenant je suppose qu'il y a en plus un deuxième exploit derrière avec webmin pour arriver à uploader dans mon /tmp, à y dézipper son script, le compiler et l'exécuter...

bon, apparemment y a un exploit d'execution dans webmin qui date du 22/12/2004, j'avoue, mon webmin date au moins du mois de novembre, je l'avais noté sur un papier à updater pour ce WE (dingue)

bon, encore toujours le bug php à corriger et je vais pouvoir manger

Je t'autorise à aller manger hein, tu verras pour le mail après

pk le perl est activé ?

parce que spamassassin, webmin et pleins d'autres trucs ont besoin de perl

mais perl a été utilisé au travers d'un exploit webmin... donc il a utilisé webmin, puis un exploit perl pour foutre un backdoor + key logger... Par contre, il a eu apparemment du mal à se connecter en ssh, logique, root y a pas accès

Il a tenté de rajouter sa clé RSA:





un morceau du script pour le plaisir:



il a uploadé un pack d'une dizaine d'exploits en fait, puis il a tout testé le con

Ben oui mais évidemment j'y avais pas pensé... mais fait aller ta jugeotte parfois ma poule..
comment il l'aurait fait aller son pti serveur irc, et son pti ssh perso si les ports étaient bloqués en entrées et qu'il n'ai aucun moyen des les ouvrir ? il l'aurait peut-etre mit sur le 80 ou le 25 ouvert, ca oui.

Seulement avec un iptable, il à vite fait de virer la conf en 2 minutes .. avec un firewall en amont, vas-y toujours à moins de hacker le firewall hardware..

OK t'as pas tort, mais avec un serveur dédié tu n'as pas ça, tu n'as que ta machine à toi

mickael> de fait, donc bon, un firewall soft, j'en vois pas l'utilité... suffit d'un bon outil de monitoring pour voir ce qu'il se passe, et en 2 ans, c'est la première fois que ca m'arrive, et par faute d'un upgrade oublié, pas vu ou inexistant (apparemment y en a pas encore si j'utilise urpmi, bien que je ne l'utilisais pas sur webmin).

quand je compare, ma machine a tenu vachement longtemps, je vais pas me plaindre, et vu qu'ils m'attaquent comme des bourrins depuis une semaine, les chances ne sont pas de mon côté.

Et quand je vois les multiples intrusions/dégats, il est fort probable qu'il y ait eu un concours sur ma tête

Ben voilà t'es pas riche mais au moins t'es célèbre...

ayé, tout est censé refonctionner les enfants... pfiouf

saloperie va

T'es un as zion

On t'aime

Oui effectivement, c'est *pratiquement* impossible d'avoir un firewall hard en housing dans un datacentre..
a moins de louer un 3-4 unités et d'aller installer son propre matos. chez OVH ca se fait, tu peux louer 1U simplémentaire et automatiquement un accès electrique avec 300W je pense..

principal c'est que tout est revenu..

[JOKE] ca à du bon les bloquages de port de skynet, au moins on risque pas d'avoir un smtp relay installé sans notre plein gré (comme dirait virenque..)[/JOKE]