Ma Debian victime de l'exploit dd_ssh ... Oh my god !
Le
Salokine Terata
Bonjour,
Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c
http://news.softpedia.com/news/Comp...ld-SSH-Br=
ute-Force-Botnet-151779.shtml
Mon fournisseur m'a vérrouillé mon serveur. J'ai une copie en lecture s=
eule si nécessaire (accès FTP).
Ce serveur était update-to-date Debian (pas d'autre dépôt). A priori,=
la faille provient de phpMyAdmin, une version ancienne (mais qui doit êt=
re celle
de ma Debian 5.0.4). Je suis entrain de rechercher d'autres preuves d'intru=
sion
Question:
Perso, mon système est compromis, je serais dans l'obligation de le réa=
installer plustard et ça ne me pose aucune soucis (sauvegarde distante ok)
Pour Debian: Existe-il un groupe intéressé par ce genre d'attaque ? Si =
nécesssaire je peux mettre mon système (une copie) à dispo sur le net=
pour diag
En espérant que ça puisse aider à d'autre.
Bonne journée.
Salokine
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100815160...ine.terata@free.fr
Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c
http://news.softpedia.com/news/Comp...ld-SSH-Br=
ute-Force-Botnet-151779.shtml
Mon fournisseur m'a vérrouillé mon serveur. J'ai une copie en lecture s=
eule si nécessaire (accès FTP).
Ce serveur était update-to-date Debian (pas d'autre dépôt). A priori,=
la faille provient de phpMyAdmin, une version ancienne (mais qui doit êt=
re celle
de ma Debian 5.0.4). Je suis entrain de rechercher d'autres preuves d'intru=
sion
Question:
Perso, mon système est compromis, je serais dans l'obligation de le réa=
installer plustard et ça ne me pose aucune soucis (sauvegarde distante ok)
Pour Debian: Existe-il un groupe intéressé par ce genre d'attaque ? Si =
nécesssaire je peux mettre mon système (une copie) à dispo sur le net=
pour diag
En espérant que ça puisse aider à d'autre.
Bonne journée.
Salokine
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100815160...ine.terata@free.fr
Poser une question
j'ai pas de réponse à votre problème, mais merci d'avoir pos té, car je
ne connaissais pas cette faille/attaque
je tacherais d'être vigilant
--
Cordialement
Grégory BULOT
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
salut,
plus d'info ici: http://isc.sans.edu/diary.html?n&storyid70
je serai d'ailleurs intéressé pour consulter les logs dont tu disposes.
merci
Le 15 août 2010 16:00, Salokine Terata
--001636c5a8be72b8ba048ddd84b1
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
salut,
merci
Bonjour,<br>
<br>
Mardi, mon serveur a été victime de l'exploit dd_ssh/vm.c<br>
<br>
<br>
Mon fournisseur m'a vérrouillé mon serveur. J'ai une copie en l ecture seule si nécessaire (accès FTP).<br>
<br>
Ce serveur était update-to-date Debian (pas d'autre dépôt). A pri ori, la faille provient de phpMyAdmin, une version ancienne (mais qui doit être celle<br>
de ma Debian 5.0.4). Je suis entrain de rechercher d'autres preuves d&# 39;intrusion...<br>
<br>
Question:<br>
Perso, mon système est compromis, je serais dans l'obligation de le r éainstaller plustard et ça ne me pose aucune soucis (sauvegarde distant e ok)<br>
Pour Debian: Existe-il un groupe intéressé par ce genre d'attaque ? Si nécesssaire je peux mettre mon système (une copie) à dispo sur le net pour diag<br>
<br>
En espérant que ça puisse aider à d'autre.<br>
Bonne journée.<br>
Salokine<br>
<font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</font></blockquote></div><br>
--001636c5a8be72b8ba048ddd84b1--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTi=
Je comprends mieux pourquoi j'ai eu ça dans mon error.log
Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/php-my-admin
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.2.3
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.2.6
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.1
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.4
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5-rc1
[Fri Aug 13 21:14:00 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5-rc2
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.5-pl1
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.6-rc1
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.6-rc2
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.6
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.7
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.5.7-pl1
[Fri Aug 13 21:14:01 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-alpha
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-alpha2
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-beta1
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-beta2
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-rc1
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-rc2
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-rc3
[Fri Aug 13 21:14:02 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-pl1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-pl2
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.0-pl3
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-rc1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-rc2
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-pl1
[Fri Aug 13 21:14:03 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-pl2
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.1-pl3
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-rc1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-beta1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-rc1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-rc1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.2-pl1
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3
[Fri Aug 13 21:14:04 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3-rc1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.3-pl1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-rc1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl1
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl2
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl3
[Fri Aug 13 21:14:05 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4-pl4
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.6.4
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-beta1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-rc1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-pl1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0-pl2
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.7.0
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0-beta1
[Fri Aug 13 21:14:06 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0-rc1
[Fri Aug 13 21:14:07 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0-rc2
[Fri Aug 13 21:14:07 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0
[Fri Aug 13 21:14:07 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0.1
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0.3
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.0.4
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.1-rc1
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.1
[Fri Aug 13 21:14:10 2010] [error] [client 83.170.113.47] File does not
exist: /var/www/phpMyAdmin-2.8.2
Le dimanche 15 août 2010 à 16:00 +0200, Salokine Terata a écrit :
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Cornichon
De même je ne connaissais pas ce problème.
Je viens de vérifier mes serveur (pas de phpMyAdmin heureusement) et
effectivement beaucoup de logs de ce style :
200.111.13.242 - - [08/Aug/2010:21:53:28 +0200] "GET /nosuichfile.php HTTP/ 1.1"
404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6)
Gecko/20100625 Firefox/3.6.6"
200.111.13.242 - - [08/Aug/2010:21:53:28 +0200] "GET /noxdir/nosuichfile.php
HTTP/1.1" 404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
200.111.13.242- - [08/Aug/2010:21:53:28 +0200] "GET /PMA/scripts/setup.php
HTTP/1.1" 404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
200.111.13.242 - - [08/Aug/2010:21:53:29 +0200] "GET /PMA2005/scripts/setup .php
HTTP/1.1" 404 1739 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
200.111.13.242 - - [08/Aug/2010:21:53:29 +0200]
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 1739 "-" "Mozilla/5.0
(Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6. 6"
200.111.13.242 - - [08/Aug/2010:21:53:29 +0200]
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1739 "-" "Mozilla/5.0
(Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6. 6"
....
....
Néanmoins et si j'ai bien compris ce que je viens de lire, cette faill e de
phpMyAdmin a été corrigé au mois d'avril de cette année par Debian.
Donc le serveur n'était pas vraiment ce que l'on appelle à jour, non ?
Sinon bon courage pour ta re-installation.
Cordialement.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Le 15 août 2010 20:26, JC
Effectivement, ceci a été corrigé le 17 avril ; voir les CVE-2008-725 1,
CVE-2008-7252 et CVE-2009-4605.
Plus généralement, je m'interroge sur la nécessité d'avoir un phpmy admin
accessible de l'extérieur. Une application à ce point sensible devrait au
pire être protégée par de solides ACLs. Les mises à jours de sécu rité
proposées par debian ne suffisent pas. Les 0 day d'apache ou phpmyadmin s ont
loin d'être rares.
--00151750e9be9bc1ef048de112eb
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
<br>
Néanmoins et si j'ai bien compris ce que je viens de lire, cette fail le de<br>
phpMyAdmin a été corrigé au mois d'avril de cette année par Deb ian.<br>
Donc le serveur n'était pas vraiment ce que l'on appelle à jour , non ?<br>
--00151750e9be9bc1ef048de112eb--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/