Server Hack

Le
alain vanranst
Bonjour la liste,

config : serveur kimsufi chez ovh,

mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et rechanger
le pw ?

By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?

D'avance, merci pour votre aide.

Avr.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1377518719.16203.5.camel@phenom.lan
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Johnny B
Le #25614102
Salut,

Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.

B.

Le 08/26/2013 02:05 PM, alain vanranst a écrit :
Bonjour la liste,

config : serveur kimsufi chez ovh,

mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et rechanger
le pw ?

By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?

D'avance, merci pour votre aide.

Avr.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25614092
On Mon, 26 Aug 2013 14:05:19 +0200
alain vanranst
mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de post gres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et
rechanger le pw ?



Inutile: ton svr est compromis et nécessite une réinstallation.

By the way, par où dois-je commencer pour essayer de comprendre
par où il est passé ?



Pour cela, il faudrait avoir la poss de démarrer la machine
sur un autre media, de façon à ne pas toucher à l'existant;
susceptible de s'auto-modifier lors d'un reboot ou du
lancement d'une appli forensic ou de toute autre action
"dangereuse" pour le cracker.

Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.

--
M : Mec j'suis un génie ! o/
R : heu ok mais pourquoi ?
M : j'avais la flemme de rester devant le four pour surveiller la pizza,
alors j'ai mis mon ordi portable sur une chaise face au four !
M : et depuis ma chambre j'ai lancé une conv' skype avec la webcam; co mme
ca je vois le four de ma chambre o/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25614072
On Mon, 26 Aug 2013 14:18:48 +0200
julien
Enfin, il y a eu un problème chez OVH, en gros ils se sont fait
volé des mot de passe, c'est peut être aussi une piste.



Et ils ont prévenu leurs utilisateurs stat??

--
Jiina: Salut!
Magicat: salut
Jiina: ca va?
Magicat: non, mon fils vient de me traiter de pute...
Jiina: sérieux?
Jiina: le fils de pute!
Magicat: ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
julien
Le #25614082
Le 2013-08-26 14:05, alain vanranst a écrit :
Bonjour la liste,

config : serveur kimsufi chez ovh,

mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et
rechanger
le pw ?



Il faut redémarrer ton serveur en mode rescue. Puis changer le mot de
passe en faisant un chroot sur ta partition système.

By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?



Une connexion en ssh avec postgres c'est bizarre, l'utilisateur
postgres est un utilisateur système et ne devrait pas avoir de mot de
passe, donc aucune possibilité de se connecter en SSH. Peut être que le
problème vient de là ou d'un autre user système avec un mot de passe.

Dans tout les cas, la personne qui est rentrée dans ton système a pu
changer pleins de trucs. Tu ne peux donc avoir confiance en aucun
fichier sur ton serveur. Les logs ont pu être falsifiés, les dates
d'accès au fichier aussi, ton noyau a pu être modifié ....

Il faut donc réinstaller avec une sauvegarde faite avant l'attaque.
Mais tu auras toujours la même faille.

Pour connaître la faille sur ton système, tu peux explorer les logs,
c'est un bon point de départ si ils n'ont pas été modifié ! Sinon, une
debian de base ne contient pas de faille, c'est donc toi en faisant la
configuration qui a créé la faille. Donc tu peux étudier en détails les
étapes de configuration.

Est-ce que tes mots de passe sont correct ?

Enfin, il y a eu un problème chez OVH, en gros ils se sont fait volé
des mot de passe, c'est peut être aussi une piste.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Christophe
Le #25614132
Le 26/08/2013 14:25, Bzzz a écrit :
On Mon, 26 Aug 2013 14:18:48 +0200
julien
Enfin, il y a eu un problème chez OVH, en gros ils se sont fait
volé des mot de passe, c'est peut être aussi une piste.



Et ils ont prévenu leurs utilisateurs stat??




Oui, et il y'a même eu un gros effort de transparence dans la
communication d'OVH.

Tous les comptes référencés chez eux ont reçu un mail pour leur faire
part d'un problème de sécurité, de la conséquence, et des actions à
entreprendre.

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25614122
On Mon, 26 Aug 2013 14:30:39 +0200
Christophe
Oui, et il y'a même eu un gros effort de transparence dans la
communication d'OVH.



Alors c'est à saluer.

--
Manon : Salut c'est la fille que tu as abordé toute à l'heure :)
Alex : Laquelle ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
andre_debian
Le #25614192
On Monday 26 August 2013 14:05:19 alain vanranst wrote:
Bonjour la liste,
config : serveur kimsufi chez ovh,
mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de post gres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et recha nger
le pw ?
By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?
D'avance, merci pour votre aide.
Avr.



Pour reprendre la main root dans ce genre de mésaventure,
il faudrait pouvoir créer avant un 2ème compte ayant les mêm es pouvoirs
que le root, et surtout, avec un mot de passe différent que le root.

Ainsi, on pourrait toujours se logguer en mode équivalent root,
modifer le mot de passe de ce dernier, constater les dégats évent uels
et réaliser les opérations de sauvetage.

En tout cas, c'est une faille de taille chez OVH ... si les
mots de passes de leurs serveurs sont volés.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25614182
On Mon, 26 Aug 2013 14:49:55 +0200
wrote:

En tout cas, c'est une faille de taille chez OVH ... si les
mots de passes de leurs serveurs sont volés.



Ce qui est le plus étonnant, c'est que les mots de passe
aient été stockés et non pas leurs hashes.
On peut légitimement se demander pourquoi et qui a
décidé ou… accédé à une demande de cela⠀¦â€¦

--
[D]: je suis libre jeudi après-midi et vendredi après-midi
après 14h pour passer l'entretien.
[S]: Très bien. Jeudi-après midi 10h c’est possible ?
[D]: Vous avez vraiment un doctorat?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Johnny B
Le #25614242
Le 08/26/2013 02:56 PM, Bzzz a écrit :
On Mon, 26 Aug 2013 14:49:55 +0200
wrote:

En tout cas, c'est une faille de taille chez OVH ... si les
mots de passes de leurs serveurs sont volés.


Ce qui est le plus étonnant, c'est que les mots de passe
aient été stockés et non pas leurs hashes.
On peut légitimement se demander pourquoi et qui a
décidé ou… accédé à une demande de cela……




OVH s'est déjà expliqué sur le pourquoi du comment de l'intrusion qu'ils
ont subit. De plus les passwd ovh sont basés sur du chiffrement sha512.
Vous avez tous oublié de lire les news qui datent de plus d'un mois ?

Quant au "hack" du serveur il faut aussi le remettre en question. Un
brutforce sur un kimsufi ca n'a pas d'interet sachant que les passwd de
base sont assez strong donc Alain tu n'aurais pas mis root/root ou mis
sous le clavier ou oublié ton passwd par hasard ? :D


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Christophe
Le #25614222
Le 26/08/2013 14:56, Bzzz a écrit :
On Mon, 26 Aug 2013 14:49:55 +0200
wrote:

En tout cas, c'est une faille de taille chez OVH ... si les
mots de passes de leurs serveurs sont volés.



Ce qui est le plus étonnant, c'est que les mots de passe
aient été stockés et non pas leurs hashes.
On peut légitimement se demander pourquoi et qui a
décidé ou… accédé à une demande de cela……



Complément d'info : ce sont les Hashes qui sont stockés .

Mail recu le 23/07 de la part du support OVH :


Bonjour,
Récemment, nous avons relevé un incident de securité sur notre réseau interne
au siège social d'Ovh.
Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons
relevé que la base de données des clients Europe aurait pu être illégalement
copiée. Cette base comporte les données suivantes :
le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le
fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne
sont pas concernées puisqu'elles ne sont pas stockées par OVH.

Même si le chiffrement du mot de passe de votre identifiant est très fort,
nous vous conseillons de changer le mot de passe dans les plus brefs délais.



Le lien attenant :

http://travaux.ovh.net/?doÞtails&id‰98

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme