A poster par zion

Je ne sais pas si c'est encore une attaque ou autre , mais le serveur vient tout juste de redevenir dispo en cette heure tardive, donc zion, merci et maintenant tu mérites une bonne nuit de sommeil

Non, j'ai pas fini... Mais j'en ai un peu marre...

J'ai un super nouvel apache, un php bien secure, un openssh brillant tout neuf, et tout le reste est fermé... Et ces connards ont réussi à envoyer un fichier via apache, à l'exécuter via une faille du kernel et après c'est la fête au village, un mega rootkit de pro (rien à voir avec les autres).

J'ai pas encore réussi à tout cleaner en plus, mais j'ai un nouveau kernel 2.6 tout propre... Et apache va en prendre pleins la gueule après

Par contre ce coup-ci j'ai non seulement l'email mais l'ip du mec, une ip sur AOL, et une email sur yahoo... Sur ce, j'ai encore bcp de boulot sur ce * de serveur, j'ai pas encore fini de tout vérifier/corriger

pour commencer, un petit :

iptables -I INPUT 1 -s ipdumec / rangée -j DROP
iptables -I OUTPUT 1 -d ipdumec / rangée -j DROP

Ca devrais les calmer un peu non?

bah non... c'est qu'une machine relay je suppose en plus...

mouais, probablement..

Bon, ayé, je filtre pleins de brols avec iptables pour rire quand même, j'ai un kernel flambant neuf, un apache, un sshd et un php flambant neuf, un apache dénudé de pleins de modules au cas ou... etc, etc... J'en ai un peu marre de devoir monter le niveau de sécurité de ma machine à se niveau, on peut même pas faire ce qu'on veut, c'est pénible

Enfin soit, j'ai encore un nouveau joli mot de passe root

il ne me reste plus qu'à le découvrir

user: root
pw: les hackerssontdesphenos

il sert à quoi le openssh ?

Tu veux dire qu'il devrait plutôt utiliser les clefs privées?

Login par clés ou par mot de passe ça ne change rien, le port devra être ouvert, par contre on peut modifier ce port et empêcher de se logguer en root, ça c'est déjà mieux (bien qu'ici ce n'est pas par là qu'ils sont rentrés mais bon)

Non ca change rien, ils ont créé un utilisateur avec les accès root et qui avait le droit de se logger... Après bon, le fête au village tout ca quoi

Poire>

beh il te sert à quoi le openssh ?

Bon pour mandrake je ne sais pas, mais moi mes serveurs je les administre en ssh...

oui, mais quel rapport avec apache ?

il à uploadé un rootkit via apache qu'il à exécuté, après avec un user équivalent à root, c'est la fête au village...

m'enfin poire

il a utilisé apache pour uploader un fichier, puis il l'a exécuté (aussi via apache), et a utilisé un exploit de mon kernel pour devenir root. Après quoi il s'est créé un compte full ssh, a changé le mot de passe root et a viré plusieurs mechanismes d'authentification (login root sans pass, super pratique), puis bon, il s'est installé un serveur IRC et un outil de flood SSH pour tous les serveurs SSH locaux.

Je dois dire que LO m'a vachement aidé sur ce coup-ci, merci LO, et sus aux failles apache (qui est devenu sage comme un moineau du coup).

le rapport entre apache et ssh

m'enfin bref

Benh y en a pas, mais si tu sais exécuter un prog sur la machine via Apache, après c'est la fête, tu te proclames root et c'est la fête dans le slip!



SSH n'a jamais été en cause, mais il l'a utilisé