Coonexion sans identification

Le
zulian
--Boundary-01=_afodRS3gdOeeGaL
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable


Bonjour,

Un visiteur vient d'accéder à mon serveur.

Le hackeur vient de me faire parvenir la liste de tous les fichiers des
différents /home/users du serveur.

Il a aussi laissé un fichier .txt dans /home.

Il affirme de pas avoir le mdp root ni aucun mdp d'users.

Il me dit avoir "bypassé la procédure d'identification".
Je n'obtiens pas d'autre réponse.


Une idée de ce qu'il fait pour accéder aux homes de mes users ?


Noyau : 3.2
debian testing


--
Frédéric f1sxo

--Boundary-01=_afodRS3gdOeeGaL
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC-=
html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs=
s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans'; font-size:9pt; fo=
nt-weight:400; font-style:normal;">
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Bonjour,</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Un visiteu=
r vient d'accéder à mon serveur.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Le hackeur =
vient de me faire parvenir la liste de tous les fichiers des différent=
s /home/users du serveur.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Il a aussi =
laissé un fichier .txt dans /home.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Il affirme =
de pas avoir le mdp root ni aucun mdp d'users.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Il me dit a=
voir &quot;bypassé la procédure d'identification&quot;.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Je n'obtien=
s pas d'autre réponse.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Une idÃ=
©e de ce qu'il fait pour accéder aux homes de mes users ?</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Noyau : 3.2=
</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">debian test=
ing </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">-- </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Fréd=
éric f1sxo</p></body></html>
--Boundary-01=_afodRS3gdOeeGaL--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201304231508.42642.zulian@free.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sébastien NOBILI
Le #25357862
Le mardi 23 avril 2013 à 15:08, a écrit :
Une idée de ce qu'il fait pour accéder aux homes de mes users ?



Quels services sont actifs sur la machine ?

Quels services sont accessibles depuis Internet ?

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25357852
On Tue, 23 Apr 2013 15:08:42 +0200
wrote:

Il me dit avoir "bypassé la procédure d'identification".
Je n'obtiens pas d'autre réponse.


Une idée de ce qu'il fait pour accéder aux homes de mes users ?



Sans aucune indication des softs utilisés ni de la conf,
aucune chance d'avoir quelque réponse que ce soit…

--
<Junk> "clitoris", peut etre? je veux dire, tu sais pas encore ce que ca
veut dire, non?
<shtrom> c'est un mot de passe non ?
<Junk> c'est une maniere de voir les choses.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
fred
Le #25357912
Le Tue, Apr 23, 2013 at 03:17:13PM +0200, Sébastien NOBILI écrivait :
Le mardi 23 avril 2013 à 15:08, a écrit :
> Une idée de ce qu'il fait pour accéder aux homes de mes users ?

Quels services sont actifs sur la machine ?

Quels services sont accessibles depuis Internet ?

Seb




Ben voila :

Host is up (0.000011s latency).
Not shown: 977 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
3306/tcp open mysql
6667/tcp open irc
8000/tcp open http-alt
10000/tcp open snet-sensor-mgmt
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Michel OLTRA
Le #25357942
Bonjour,


Le mardi 23 avril 2013, a écrit...


Le hackeur vient de me faire parvenir la liste de tous les fichiers des
différents /home/users du serveur.

Il a aussi laissé un fichier .txt dans /home.

Une idée de ce qu'il fait pour accéder aux homes de mes users ?



As tu regardé les droits sur ces différents dossiers/fichiers, de
manière à voir quelles sont les permissions minimales à obtenir pour
procéder aux actions de lecture/écriture ?

Car, normalement, par exemple, /home est en 755 (root:root), donc il
faut être root pour écrire dedans.
Les fichiers de tes utilisateurs sont ils lisibles par tous ?

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
S
Le #25357952
Le mardi 23 avril 2013 à 15:35, fred a écrit :
> Quels services sont actifs sur la machine ?
>
> Quels services sont accessibles depuis Internet ?

Ben voila :

Host is up (0.000011s latency).
Not shown: 977 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
3306/tcp open mysql
6667/tcp open irc
8000/tcp open http-alt
10000/tcp open snet-sensor-mgmt
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11



[Merci de ne pas me répondre en direct, je suis abonné à la liste]

J'imagine (j'espère !) que tout ça n'est pas accessible depuis Internet…

Lesquels le sont ?

Je vois un HTTP. Que sert-il ?

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd MOUNSI
Le #25357982
--089e011779f5d0f9fa04db079eb2
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Les logs donnent-ils quelque chose ?
Le 23 avr. 2013 15:09,
**



Bonjour,



Un visiteur vient d'accéder à mon serveur.



Le hackeur vient de me faire parvenir la liste de tous les fichiers des
différents /home/users du serveur.



Il a aussi laissé un fichier .txt dans /home.



Il affirme de pas avoir le mdp root ni aucun mdp d'users.



Il me dit avoir "bypassé la procédure d'identification".

Je n'obtiens pas d'autre réponse.





Une idée de ce qu'il fait pour accéder aux homes de mes users ?





Noyau : 3.2

debian testing





--

Frédéric f1sxo




--089e011779f5d0f9fa04db079eb2
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<p>Les logs donnent-ils quelque chose ?</p>
<u></u>
<div style="font-family:&#39;DejaVu Sans&#39;;font-size:9pt;font-weight:4 00;font-style:normal">
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px">Bonjour,</p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px">Une idée de ce qu&#39;il fait pour accéder aux home s de mes users ?</p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px">debian testing </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px"> </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px">-- </p>
<p style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0 px;text-indent:0px">Frédéric f1sxo</p></div></blockquote></div>

--089e011779f5d0f9fa04db079eb2--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bb_18_wtAÙQBHX+GVk1mt+0UbYmw7JopgzRfDgK=
Jean-Luc Bassereau
Le #25358112
Le 23/04/2013 15:53, Sébastien NOBILI a écrit :
Le mardi 23 avril 2013 à 15:35, fred a écrit :
Quels services sont actifs sur la machine ?

Quels services sont accessibles depuis Internet ?


Ben voila :

Host is up (0.000011s latency).
Not shown: 977 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
3306/tcp open mysql
6667/tcp open irc
8000/tcp open http-alt
10000/tcp open snet-sensor-mgmt
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11





Il y a des ports ouverts vraiment inquietants genre :

1080/tcp open socks
1524/tcp open ingreslock
1524/tcp open ingreslock
2000/tcp open cisco-sccp
3306/tcp open mysql
6667/tcp open irc
8000/tcp open http-alt
10000/tcp open snet-sensor-mgmt
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11

Sais-tu ce que tu fais tourner dessus ?

en root :
lsof -i:xxx (remplacer xxx par le port)
te donnera le binaire qui ouvre le port en question.

Dans tous les cas, un audit de ta machine est nécessaire.





--
Cordialement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
fred
Le #25358232
Le Tue, Apr 23, 2013 at 05:44:35PM +0200, Jean-Luc Bassereau écrivait :


couic


Il y a des ports ouverts vraiment inquietants genre :

1080/tcp open socks
1524/tcp open ingreslock
1524/tcp open ingreslock
2000/tcp open cisco-sccp
3306/tcp open mysql
6667/tcp open irc
8000/tcp open http-alt
10000/tcp open snet-sensor-mgmt
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11

Sais-tu ce que tu fais tourner dessus ?

en root :
lsof -i:xxx (remplacer xxx par le port)
te donnera le binaire qui ouvre le port en question.



Je suis passer par netstat -lnp | grep ":n°_de_port"
et j'ai enlevé tout sauf mysql, postfix et apache.

Cela a fait un sacré nettoyage.


Dans tous les cas, un audit de ta machine est nécessaire.



Un audit ?

J'ai utilisé nmap pour lister les ports ouverts et faire le tri.

D'autres idées ?

--

Frédéric
F1sxo

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
fred
Le #25358242
Le Tue, Apr 23, 2013 at 03:53:44PM +0200, Sébastien NOBILI écrivait :
Le mardi 23 avril 2013 à 15:35, fred a écrit :
> > Quels services sont actifs sur la machine ?
> >
> > Quels services sont accessibles depuis Internet ?
>
> Ben voila :
>
> Host is up (0.000011s latency).
> Not shown: 977 closed ports
> PORT STATE SERVICE
> 1/tcp open tcpmux
> 21/tcp open ftp
> 22/tcp open ssh
> 25/tcp open smtp
> 53/tcp open domain
> 79/tcp open finger
> 80/tcp open http
> 111/tcp open rpcbind
> 119/tcp open nntp
> 143/tcp open imap
> 1080/tcp open socks
> 1524/tcp open ingreslock
> 2000/tcp open cisco-sccp
> 3306/tcp open mysql
> 6667/tcp open irc
> 8000/tcp open http-alt
> 10000/tcp open snet-sensor-mgmt
> 12345/tcp open netbus
> 31337/tcp open Elite
> 32771/tcp open sometimes-rpc5
> 32772/tcp open sometimes-rpc7
> 32773/tcp open sometimes-rpc9
> 32774/tcp open sometimes-rpc11

[Merci de ne pas me répondre en direct, je suis abonné à la liste]

J'imagine (j'espère !) que tout ça n'est pas accessible depuis Internet…



Ben si ça était .....

Lesquels le sont ?



Ben tous, depuis j'ai listé et enlevé tous ce qui ne sert pas :

netstat -lnp | grep ":port"




Je vois un HTTP. Que sert-il ?



Apache, il y a un jeux en ligne.


--

Frédéric F1sxo

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25358292
On Tue, 23 Apr 2013 19:33:48 +0200
fred
> J'imagine (j'espère !) que tout ça n'est pas accessible depuis
> Internet…

Ben si ça était .....

> Lesquels le sont ?

Ben tous, depuis j'ai listé et enlevé tous ce qui ne sert pas :



Condoléances, tu peux d'ores et déjà réinstaller.

--
Bloody_Shark : je suis le messi
TheAce : messie ça s'ecrit pas comme ça imbecile
Bloody_Shark : mais si!!!
TheAce : ni comme ça

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme