hacked ?

Le
Hugolino
Bonjour,

Je fais tourner une Ubuntu 7.04 24h/24 avec apache2, vsftpd et ssh.

Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.

/dev/null était devenu crw- , ce qui faisait foiré des test dans
mon ~/.bashrc (j'ai remis crw-rw-rw-)

mon répertoire /home/ftp appartenait à saned (UID6) au lieu de ftp
(UID7)

Le problème est que je n'ai aucune idée de quoi regarder dans les logs
pour chercher ce qui a été eventuellement fait sur la machine.

J'ai juste ça dans /var/log/auth.log:
8<--8<8<-8<-8<-8<-8<-
Jun 5 12:32:30 Deborah sshd[6521]: Invalid user firebird from 69.50.198.12
Jun 5 12:32:32 Deborah sshd[6521]: Failed password for invalid user firebird
from 69.50.198.12 port 33593 ssh2
Jun 5 12:32:37 Deborah sshd[6523]: Failed password for root from 69.50.198.12
port 33824 ssh2
Jun 5 12:32:38 Deborah sshd[6526]: Invalid user user from 69.50.198.12
Jun 5 12:32:40 Deborah sshd[6526]: Failed password for invalid user user from
69.50.198.12 port 34133 ssh2
[] essai de 'admin', 'guest', 'sales', 'oracle', ftptest' 'mysql',
'usertest', 'administrator'
Jun 5 12:33:17 Deborah sshd[6544]: Failed password for root from 69.50.198.12
port 36554 ssh2
[] 20 lignes où seul le port change
Jun 5 12:34:39 Deborah sshd[6728]: Failed password for root from 69.50.198.12
port 42052 ssh2
8<--8<8<-8<-8<-8<-8<-

Le simple fait que ce log n'ai pas été nettoyé peut-il me laisser penser
que j'ai eu affaire à un inoffensif script-kiddie ?

L'autre problème (sans doute bien plus grave et qui va en faire hurler
certains), c'est que je ne sais pas sécuriser une machine. J'ai quand
même
PermitRootLogin no
PermitEmptyPasswords no
dans /etc/ssh/sshd.config

mais je n'ai jamais rien compris à la syntaxe d'iptables. Et si un
aimable contributeur du ng pouvait me donner une url pour newbie
complet, je lui en serais reconnaissant.


Merci de votre aide.

--
> ±z¬O§_¸g±`¬°¦p¦ó©Ý®i¦æ¾PºÞ¹D¶Ë¸£µ¬?
> ¥Zµn³ø¯È,Âø»x¼s§i©Î¶l±H¢Ò¢Û (Direct Mail)¬O§_¤w¸gµLªk¹F¦¨±z¹w´Áªº¼s§i®ÄªG?
Je vous invite a consulter dans un premier temps le french-Howto.
-+- JCD in Guide du linuxien pervers - "Bien configurer la lisibilité de fcolm"
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #874673
Hugolino wrote in message
Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.


Ça ressemble plus à une corruption du filesystem qu'à une intrusion, à mon
avis.

Djoume SALVETTI
Le #874672
Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.


Je pense plutot a une corruption du système de fichier suite à un
problème matériel (nappe mal branchée?) plutot qu'à une attaque.

mais je n'ai jamais rien compris à la syntaxe d'iptables. Et si un
aimable contributeur du ng pouvait me donner une url pour newbie
complet, je lui en serais reconnaissant.


http://olivieraj.free.fr/fr/linux/information/firewall/

--
Djoume SALVETTI

Nina Popravka
Le #874671
On 05 Jun 2007 11:56:07 GMT, Hugolino
Le simple fait que ce log n'ai pas été nettoyé peut-il me laisser penser
que j'ai eu affaire à un inoffensif script-kiddie ?
En tout cas, c'est une activité parfaitement normale, incessante, et

inoffensive (à moins d'être assez con pour avoir un compte guest pass
guest) sur le port 22.
--
Nina

Corsica
Le #874670
Bonjour,

Je fais tourner une Ubuntu 7.04 24h/24 avec apache2, vsftpd et ssh.

Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.

/dev/null était devenu crw------- , ce qui faisait foiré des test dans
mon ~/.bashrc (j'ai remis crw-rw-rw-)

mon répertoire /home/ftp appartenait à saned (UID6) au lieu de ftp
(UID7)

Le problème est que je n'ai aucune idée de quoi regarder dans les logs
pour chercher ce qui a été eventuellement fait sur la machine.

J'ai juste ça dans /var/log/auth.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<----
Jun 5 12:32:30 Deborah sshd[6521]: Invalid user firebird from 69.50.198.12
Jun 5 12:32:32 Deborah sshd[6521]: Failed password for invalid user firebird
from 69.50.198.12 port 33593 ssh2
Jun 5 12:32:37 Deborah sshd[6523]: Failed password for root from 69.50.198.12
port 33824 ssh2
Jun 5 12:32:38 Deborah sshd[6526]: Invalid user user from 69.50.198.12
Jun 5 12:32:40 Deborah sshd[6526]: Failed password for invalid user user from
69.50.198.12 port 34133 ssh2
[...] essai de 'admin', 'guest', 'sales', 'oracle', ftptest' 'mysql',
'usertest', 'administrator'
Jun 5 12:33:17 Deborah sshd[6544]: Failed password for root from 69.50.198.12
port 36554 ssh2
[...] 20 lignes où seul le port change
Jun 5 12:34:39 Deborah sshd[6728]: Failed password for root from 69.50.198.12
port 42052 ssh2
8<-----------8<---------8<----------8<----------8<----------8<----------8<----


Salut !
A une époque j'en avais des tonnes (guest, root, admin) qui tentaient la
coup sur le port 22. Si tu as un serveur Ssh :
- Pas de log possible en root
- Changer le port d'écoute en 222 ou 2222 par exemple (là, cela filtre
vachement bien, premier écrémage garanti !)
- Autoriser la connexion d'un seul compte avec un nom et un mot de passe
dur à trouver :Mandrake avec mot de passe XztRReq par exemple.

Ensuite l'idéal est de ne permettre la connexion qu'avec une clé RSA ou
DSA et le fin du fin avec en plus une phrase. On ne sait jamais, si la
clé venait a tomber en de mauvaises main.


A+
Amitiés de Corse

Fabien LE LEZ
Le #874669
On 05 Jun 2007 12:23:27 GMT, Corsica
Si tu as un serveur Ssh :
- Pas de log possible en root


Quelle est l'utilité ?

- Autoriser la connexion d'un seul compte avec un nom et un mot de passe
dur à trouver :Mandrake avec mot de passe XztRReq par exemple.


"Mandrake", c'est vachement dur à trouver...
Un mot de passe root un peu sérieux (une dizaine de caractères, y
compris des majuscules, des minuscules, des chiffres et éventuellement
des signes de ponctuation) fait tout aussi bien l'affaire.


- Changer le port d'écoute en 222 ou 2222 par exemple (là, cela filtre
vachement bien, premier écrémage garanti !)

Ensuite l'idéal est de ne permettre la connexion qu'avec une clé RSA ou
DSA et le fin du fin avec en plus une phrase.


Sur ces deux points, je suis d'accord. En sachant bien que le
changement de port n'est pas une mesure de sécurité, mais un système
pour réduire la charge sur le serveur et la connexion.

Hugolino
Le #874668
Le 05 Jun 2007 12:04:46 GMT, Nicolas George a écrit:
Hugolino wrote in message
Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.


Ça ressemble plus à une corruption du filesystem qu'à une intrusion, à mon
avis.


C'est effectivement la première idée qui m'est venue à l'esprit, mais un
fsck sur toutes mes partition n'a rien trouvé.

Et les dates et heures de l'"évènement" dont j'ai fourni le log sont
antérieures d'à peine 5 minutes à mon problème...


--
Vire [] (com2 usb) [] probleme [] xpertplay [] resserve les adresse
memoire [] reboot [] bios [] active [] windoz [] parametrage []
reservation de ressource [] reboot [] bios [] reset [] disable [] prie.
-+- MK in Guide du linuxien pervers - "Solution à un problème Windows"


Corsica
Le #874667
On 05 Jun 2007 12:23:27 GMT, Corsica "Mandrake", c'est vachement dur à trouver...
Un mot de passe root un peu sérieux (une dizaine de caractères, y
compris des majuscules, des minuscules, des chiffres et éventuellement
des signes de ponctuation) fait tout aussi bien l'affaire.


Bonjour

Mandrake n'est pas le mot de passe, mais un user "spécial" qui seul a
l'autorisation de se connecter en ssh, cela évite de laisser root,
admin, toto (déjà vu) etc..... Mais c'est juste un exemple.....

Pour le mot de passe, je suis tout à fait d'accord avec toi. Mais
utiliser Ssh sans clé et sans paraphrase me donnerait quand même une
impression de "roulette russe".

Amitiés de Corse

Corsica
Le #874666
On 05 Jun 2007 12:23:27 GMT, Corsica
Si tu as un serveur Ssh :
- Pas de log possible en root


Quelle est l'utilité ?


Je me suis mal exprimé, je voulais dire pas de connexion possible en root.

Amitiés de Corse


Hugolino
Le #874665
Le 05 Jun 2007 12:05:43 GMT, Djoume SALVETTI a écrit:
Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.


Je pense plutot a une corruption du système de fichier suite à un
problème matériel (nappe mal branchée?) plutot qu'à une attaque.


Ouiménon, il ne s'agissait pas de la nappe des disques durs. (Remarque,
ce serait idioit de pas rouvrir le PC pour vérifier que je ne l'ai pas
chatouillée d'un peut près en refixant l'autre nappe. Mais j'ai fait un
fsck...)

mais je n'ai jamais rien compris à la syntaxe d'iptables. Et si un
aimable contributeur du ng pouvait me donner une url pour newbie
complet, je lui en serais reconnaissant.


http://olivieraj.free.fr/fr/linux/information/firewall/


OK, parfait. Merci


--
Concours de bit entre linuxiens : hcgvzr
Hugo (né il y a 1 360 509 578 secondes)


Fabien LE LEZ
Le #868601
On 05 Jun 2007 14:38:54 GMT, Corsica
Je me suis mal exprimé, je voulais dire pas de connexion possible en root.


J'avais bien compris. Mais ce que je n'ai pas compris, c'est la
raison.

Publicité
Poster une réponse
Anonyme