Ma Debian victime de l'exploit dd_ssh ... Oh my god !

Le
Salokine Terata
Bonjour,

Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c

http://news.softpedia.com/news/Compromised-Web-Servers-Used-to-Build-SSH-Br=
ute-Force-Botnet-151779.shtml

Mon fournisseur m'a vérrouillé mon serveur. J'ai une copie en lecture s=
eule si nécessaire (accès FTP).

Ce serveur était update-to-date Debian (pas d'autre dépôt). A priori,=
la faille provient de phpMyAdmin, une version ancienne (mais qui doit êt=
re celle
de ma Debian 5.0.4). Je suis entrain de rechercher d'autres preuves d'intru=
sion

Question:
Perso, mon système est compromis, je serais dans l'obligation de le réa=
installer plustard et ça ne me pose aucune soucis (sauvegarde distante ok)
Pour Debian: Existe-il un groupe intéressé par ce genre d'attaque ? Si =
nécesssaire je peux mettre mon système (une copie) à dispo sur le net=
pour diag

En espérant que ça puisse aider à d'autre.
Bonne journée.
Salokine

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201008151600.24865.salokine.terata@free.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Grégory Bulot
Le #22474021
Bonjour,

Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c



j'ai pas de réponse à votre problème, mais merci d'avoir pos té, car je
ne connaissais pas cette faille/attaque

je tacherais d'être vigilant


--
Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Cornichon
Le #22474011
--001636c5a8be72b8ba048ddd84b1
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

salut,
plus d'info ici: http://isc.sans.edu/diary.html?n&storyid“70
je serai d'ailleurs intéressé pour consulter les logs dont tu disposes.
merci


Le 15 août 2010 16:00, Salokine Terata
Bonjour,

Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c


http://news.softpedia.com/news/Compromised-Web-Servers-Used-to-Build-SSH- Brute-Force-Botnet-151779.shtml

Mon fournisseur m'a vérrouillé mon serveur. J'ai une copie en lecture seule
si nécessaire (accès FTP).

Ce serveur était update-to-date Debian (pas d'autre dépôt). A prior i, la
faille provient de phpMyAdmin, une version ancienne (mais qui doit être
celle
de ma Debian 5.0.4). Je suis entrain de rechercher d'autres preuves
d'intrusion...

Question:
Perso, mon système est compromis, je serais dans l'obligation de le
réainstaller plustard et ça ne me pose aucune soucis (sauvegarde dist ante
ok)
Pour Debian: Existe-il un groupe intéressé par ce genre d'attaque ? S i
nécesssaire je peux mettre mon système (une copie) à dispo sur le n et pour
diag

En espérant que ça puisse aider à d'autre.
Bonne journée.
Salokine

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/





--001636c5a8be72b8ba048ddd84b1
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

salut,
merci
Bonjour,<br>
<br>
Mardi, mon serveur a été victime de l&#39;exploit dd_ssh/vm.c<br>
<br>


<br>
Mon fournisseur m&#39;a vérrouillé mon serveur. J&#39;ai une copie en l ecture seule si nécessaire (accès FTP).<br>
<br>
Ce serveur était update-to-date Debian (pas d&#39;autre dépôt). A pri ori, la faille provient de phpMyAdmin, une version ancienne (mais qui doit être celle<br>
de ma Debian 5.0.4). Je suis entrain de rechercher d&#39;autres preuves d&# 39;intrusion...<br>
<br>
Question:<br>
Perso, mon système est compromis, je serais dans l&#39;obligation de le r éainstaller plustard et ça ne me pose aucune soucis (sauvegarde distant e ok)<br>
Pour Debian: Existe-il un groupe intéressé par ce genre d&#39;attaque ? Si nécesssaire je peux mettre mon système (une copie) à dispo sur le net pour diag<br>
<br>
En espérant que ça puisse aider à d&#39;autre.<br>
Bonne journée.<br>
Salokine<br>
<font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</font></blockquote></div><br>

--001636c5a8be72b8ba048ddd84b1--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTi=
lann
Le #22474731
Bonjour

Je comprends mieux pourquoi j'ai eu ça dans mon error.log

Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/php-my-admin
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.2.3
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.2.6
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.1
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.4
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5-rc1
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5-rc2
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5-pl1
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.6-rc1
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.6-rc2
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.6
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.7
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.7-pl1
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-alpha
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-alpha2
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-beta1
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-beta2
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-rc1
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-rc2
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-rc3
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-pl1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-pl2
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-pl3
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-rc1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-rc2
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-pl1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-pl2
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-pl3
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-rc1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-beta1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-rc1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-rc1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-pl1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3-rc1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3-pl1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-rc1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl2
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl3
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl4
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-beta1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-rc1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-pl1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-pl2
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0-beta1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0-rc1
[Fri Aug 13 21:14:07 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0-rc2
[Fri Aug 13 21:14:07 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0
[Fri Aug 13 21:14:07 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0.1
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0.3
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0.4
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.1-rc1
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.1
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.2


Le dimanche 15 août 2010 à 16:00 +0200, Salokine Terata a écrit :
Bonjour,

Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c

http://news.softpedia.com/news/Compromised-Web-Servers-Used-to-Build-SSH-Brute-Force-Botnet-151779.shtml

Mon fournisseur m'a vérrouillé mon serveur. J'ai une copie en lecture seule si nécessaire (accès FTP).

Ce serveur était update-to-date Debian (pas d'autre dépôt). A priori, la faille provient de phpMyAdmin, une version ancienne (mais qui doit être celle
de ma Debian 5.0.4). Je suis entrain de rechercher d'autres preuves d'intrusion...

Question:
Perso, mon système est compromis, je serais dans l'obligation de le réainstaller plustard et ça ne me pose aucune soucis (sauvegarde distante ok)
Pour Debian: Existe-il un groupe intéressé par ce genre d'attaque ? Si nécesssaire je peux mettre mon système (une copie) à dispo sur le net pour diag

En espérant que ça puisse aider à d'autre.
Bonne journée.
Salokine





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JC
Le #22474801
On Sun, 15 Aug 2010 16:27:16 +0200
Cornichon

> Ce serveur était update-to-date Debian (pas d'autre dépô t). A priori, la
> faille provient de phpMyAdmin, une version ancienne (mais qui doit à ªtre
> celle de ma Debian 5.0.4).



De même je ne connaissais pas ce problème.
Je viens de vérifier mes serveur (pas de phpMyAdmin heureusement) et
effectivement beaucoup de logs de ce style :

200.111.13.242 - - [08/Aug/2010:21:53:28 +0200] "GET /nosuichfile.php HTTP/ 1.1"
404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6)
Gecko/20100625 Firefox/3.6.6"

200.111.13.242 - - [08/Aug/2010:21:53:28 +0200] "GET /noxdir/nosuichfile.php
HTTP/1.1" 404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"

200.111.13.242- - [08/Aug/2010:21:53:28 +0200] "GET /PMA/scripts/setup.php
HTTP/1.1" 404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"

200.111.13.242 - - [08/Aug/2010:21:53:29 +0200] "GET /PMA2005/scripts/setup .php
HTTP/1.1" 404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"

200.111.13.242 - - [08/Aug/2010:21:53:29 +0200]
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 1739 "-" "Mozilla/5.0
(Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6. 6"

200.111.13.242 - - [08/Aug/2010:21:53:29 +0200]
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1739 "-" "Mozilla/5.0
(Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6. 6"

....
....


Néanmoins et si j'ai bien compris ce que je viens de lire, cette faill e de
phpMyAdmin a été corrigé au mois d'avril de cette année par Debian.
Donc le serveur n'était pas vraiment ce que l'on appelle à jour, non ?


Sinon bon courage pour ta re-installation.
Cordialement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Cornichon
Le #22474941
--00151750e9be9bc1ef048de112eb
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 15 août 2010 20:26, JC

Néanmoins et si j'ai bien compris ce que je viens de lire, cette faille de
phpMyAdmin a été corrigé au mois d'avril de cette année par Debia n.
Donc le serveur n'était pas vraiment ce que l'on appelle à jour, non ?




Effectivement, ceci a été corrigé le 17 avril ; voir les CVE-2008-725 1,
CVE-2008-7252 et CVE-2009-4605.
Plus généralement, je m'interroge sur la nécessité d'avoir un phpmy admin
accessible de l'extérieur. Une application à ce point sensible devrait au
pire être protégée par de solides ACLs. Les mises à jours de sécu rité
proposées par debian ne suffisent pas. Les 0 day d'apache ou phpmyadmin s ont
loin d'être rares.

--00151750e9be9bc1ef048de112eb
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable



<br>
Néanmoins et si j&#39;ai bien compris ce que je viens de lire, cette fail le de<br>
phpMyAdmin a été corrigé au mois d&#39;avril de cette année par Deb ian.<br>
Donc le serveur n&#39;était pas vraiment ce que l&#39;on appelle à jour , non ?<br>


--00151750e9be9bc1ef048de112eb--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean Baptiste FAVRE
Le #22475041
Des 0-Day Apache pas rares ? Je serais curieux d'avoir quelques exemples.

Parce que des failles PhpMyAdmin, OK, des failles Webmail je veux bien,
des failles Apaches même d'accord, mais des 0-Day Apache, ça fait un
sacré bail que je n'en ai pas vu.

Cordialement,
JB


On 15/08/2010 20:41, Cornichon wrote:

Le 15 août 2010 20:26, JC


Néanmoins et si j'ai bien compris ce que je viens de lire, cette
faille de
phpMyAdmin a été corrigé au mois d'avril de cette année par Debian.
Donc le serveur n'était pas vraiment ce que l'on appelle à jour, non ?


Effectivement, ceci a été corrigé le 17 avril ; voir les CVE-2008-7251,
CVE-2008-7252 et CVE-2009-4605.
Plus généralement, je m'interroge sur la nécessité d'avoir un phpmyadmin
accessible de l'extérieur. Une application à ce point sensible devrait
au pire être protégée par de solides ACLs. Les mises à jours de sécurité
proposées par debian ne suffisent pas. Les 0 day d'apache ou phpmyadmin
sont loin d'être rares.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Vincent Lefevre
Le #22483931
On 2010-08-15 16:00:24 +0200, Salokine Terata wrote:
http://news.softpedia.com/news/Compromised-Web-Servers-Used-to-Build-SSH-Brute-Force-Botnet-151779.shtml



Ah, je pense que c'est pour ça que mon serveur a été DDOSé il y a deux
semaines: la plupart de mes propres connexions SSH sur mon serveur
échouaient. J'ai finalement pu installer fail2ban, ce qui a réglé le
problème.

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arénaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme