Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script.
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
D'autre part afin d'être un peu plus réactif, puisque c'est mon
fournisseur de service qui m'a informé du piratage du serveur suite à
une pleinte, quelles sont les méthode pour surveiller au quotidien
l'activité d'un serveur web, et en particulier des scripts ?
Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script.
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
D'autre part afin d'être un peu plus réactif, puisque c'est mon
fournisseur de service qui m'a informé du piratage du serveur suite à
une pleinte, quelles sont les méthode pour surveiller au quotidien
l'activité d'un serveur web, et en particulier des scripts ?
Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script.
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
D'autre part afin d'être un peu plus réactif, puisque c'est mon
fournisseur de service qui m'a informé du piratage du serveur suite à
une pleinte, quelles sont les méthode pour surveiller au quotidien
l'activité d'un serveur web, et en particulier des scripts ?
Bon évidemment tout cela n'est pas suffisant pour éviter les ennuis,
mais cela rend la tâche plus ardue pour le script kiddie qui en règle
générale se contente de (péniblement) utiliser des exploits que d'autres
ont écrit.
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
Pas facile après coup.. si on suit les procédures classiques, le serveur
devrait être réinstallé entièrement, mais c'est peut être trop
contraignant ici :)
(en théorie aussi, un backup quotidien pourrait rsync'er le jail a
l'extérieur ; par exemple dans un autre jail ; en espérant que le backup
ne date pas d'après la faille)
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
Bon évidemment tout cela n'est pas suffisant pour éviter les ennuis,
mais cela rend la tâche plus ardue pour le script kiddie qui en règle
générale se contente de (péniblement) utiliser des exploits que d'autres
ont écrit.
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
Pas facile après coup.. si on suit les procédures classiques, le serveur
devrait être réinstallé entièrement, mais c'est peut être trop
contraignant ici :)
(en théorie aussi, un backup quotidien pourrait rsync'er le jail a
l'extérieur ; par exemple dans un autre jail ; en espérant que le backup
ne date pas d'après la faille)
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
Bon évidemment tout cela n'est pas suffisant pour éviter les ennuis,
mais cela rend la tâche plus ardue pour le script kiddie qui en règle
générale se contente de (péniblement) utiliser des exploits que d'autres
ont écrit.
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
Pas facile après coup.. si on suit les procédures classiques, le serveur
devrait être réinstallé entièrement, mais c'est peut être trop
contraignant ici :)
(en théorie aussi, un backup quotidien pourrait rsync'er le jail a
l'extérieur ; par exemple dans un autre jail ; en espérant que le backup
ne date pas d'après la faille)
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
Vérifier aussi la base de donnée s'il y en a une ;)
L'ennui sur de l'hébergé est qu'on ne maîtrise pas forcément tous les
paramètres de l'install : est-ce toi qui gère entièrement le serveur ou
est-ce un pré-installé où tu as seulement accès par ftp ?
Autrement dit, peux-tu vérifier les paramètres de php and Co ?
L'un n'empêche pas l'autre : tu peux très bien procéder à un backup
total de la machine avant de la réinstaller de A à Z et voir par
quelle(s) faille(s) s'est introduit le pirate.
Si la machine qui sert de serveur rsync est sur une autre machine,
pourquoi pas ? Mais sur le même serveur, j'avoue que je suis
dubitatif... Même s'il n'est pas facile de sortir d'un jail, ce n'est
pas pour autant impossible, alors, tant qu'à être parno, autant l'être
complètement et ne pas mettre tous ses oeufs dans le même serveur.
Pour les logs, il y a logcheck qui est bien et qu'on peut configurer
assez finement.
Vérifier aussi la base de donnée s'il y en a une ;)
L'ennui sur de l'hébergé est qu'on ne maîtrise pas forcément tous les
paramètres de l'install : est-ce toi qui gère entièrement le serveur ou
est-ce un pré-installé où tu as seulement accès par ftp ?
Autrement dit, peux-tu vérifier les paramètres de php and Co ?
L'un n'empêche pas l'autre : tu peux très bien procéder à un backup
total de la machine avant de la réinstaller de A à Z et voir par
quelle(s) faille(s) s'est introduit le pirate.
Si la machine qui sert de serveur rsync est sur une autre machine,
pourquoi pas ? Mais sur le même serveur, j'avoue que je suis
dubitatif... Même s'il n'est pas facile de sortir d'un jail, ce n'est
pas pour autant impossible, alors, tant qu'à être parno, autant l'être
complètement et ne pas mettre tous ses oeufs dans le même serveur.
Pour les logs, il y a logcheck qui est bien et qu'on peut configurer
assez finement.
Vérifier aussi la base de donnée s'il y en a une ;)
L'ennui sur de l'hébergé est qu'on ne maîtrise pas forcément tous les
paramètres de l'install : est-ce toi qui gère entièrement le serveur ou
est-ce un pré-installé où tu as seulement accès par ftp ?
Autrement dit, peux-tu vérifier les paramètres de php and Co ?
L'un n'empêche pas l'autre : tu peux très bien procéder à un backup
total de la machine avant de la réinstaller de A à Z et voir par
quelle(s) faille(s) s'est introduit le pirate.
Si la machine qui sert de serveur rsync est sur une autre machine,
pourquoi pas ? Mais sur le même serveur, j'avoue que je suis
dubitatif... Même s'il n'est pas facile de sortir d'un jail, ce n'est
pas pour autant impossible, alors, tant qu'à être parno, autant l'être
complètement et ne pas mettre tous ses oeufs dans le même serveur.
Pour les logs, il y a logcheck qui est bien et qu'on peut configurer
assez finement.
C'est bien une faille de PHP (lié donc à ma négligence) et à
phpMyadmin qui a été utilisé pour ce faire.
Je peux poster les logs du serveur web, j'y ai les traces.
Certes, mais là ça commence à avoir un coût non négligeable.
Je vais toutefois me pencher sur le sujet. Jusqu'à présent je ne
sauvegardait que la config, et le spool du serveur news ainsi que les
comptes mail.
C'est bien une faille de PHP (lié donc à ma négligence) et à
phpMyadmin qui a été utilisé pour ce faire.
Je peux poster les logs du serveur web, j'y ai les traces.
Certes, mais là ça commence à avoir un coût non négligeable.
Je vais toutefois me pencher sur le sujet. Jusqu'à présent je ne
sauvegardait que la config, et le spool du serveur news ainsi que les
comptes mail.
C'est bien une faille de PHP (lié donc à ma négligence) et à
phpMyadmin qui a été utilisé pour ce faire.
Je peux poster les logs du serveur web, j'y ai les traces.
Certes, mais là ça commence à avoir un coût non négligeable.
Je vais toutefois me pencher sur le sujet. Jusqu'à présent je ne
sauvegardait que la config, et le spool du serveur news ainsi que les
comptes mail.
j'administre un serveur dédié sur lequel tourne plusieurs services
dont certains hebergés dans une jail sous FreeBSD 7.
Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script. C'est le serveur web
tournant dans une jail qui a été victime de cette attaque (c'est
ns.grisbi.org).
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
J'avoue être un peu pris au dépourvu (et quelque peu ignorant de
certains aspects lié à la sécurité) et souhaiterais des conseils sur
les outils à utiliser, les fichier logs à surveiller
et tout ce qui
pourrait m'aider à vérifier que ça n'a pas débordé hors du serveur web.
D'autre part afin d'être un peu plus réactif, puisque c'est mon
fournisseur de service qui m'a informé du piratage du serveur suite à
une pleinte, quelles sont les méthode pour surveiller au quotidien
l'activité d'un serveur web, et en particulier des scripts ?
j'administre un serveur dédié sur lequel tourne plusieurs services
dont certains hebergés dans une jail sous FreeBSD 7.
Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script. C'est le serveur web
tournant dans une jail qui a été victime de cette attaque (c'est
ns.grisbi.org).
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
J'avoue être un peu pris au dépourvu (et quelque peu ignorant de
certains aspects lié à la sécurité) et souhaiterais des conseils sur
les outils à utiliser, les fichier logs à surveiller
et tout ce qui
pourrait m'aider à vérifier que ça n'a pas débordé hors du serveur web.
D'autre part afin d'être un peu plus réactif, puisque c'est mon
fournisseur de service qui m'a informé du piratage du serveur suite à
une pleinte, quelles sont les méthode pour surveiller au quotidien
l'activité d'un serveur web, et en particulier des scripts ?
j'administre un serveur dédié sur lequel tourne plusieurs services
dont certains hebergés dans une jail sous FreeBSD 7.
Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script. C'est le serveur web
tournant dans une jail qui a été victime de cette attaque (c'est
ns.grisbi.org).
Je souhaiterais auditer plus avant le système bien que théoriquement
l'attaque ne devrait pas avoir débordé du serveur web et de la faille
du script PHP.
J'avoue être un peu pris au dépourvu (et quelque peu ignorant de
certains aspects lié à la sécurité) et souhaiterais des conseils sur
les outils à utiliser, les fichier logs à surveiller
et tout ce qui
pourrait m'aider à vérifier que ça n'a pas débordé hors du serveur web.
D'autre part afin d'être un peu plus réactif, puisque c'est mon
fournisseur de service qui m'a informé du piratage du serveur suite à
une pleinte, quelles sont les méthode pour surveiller au quotidien
l'activité d'un serveur web, et en particulier des scripts ?
La première chose que je vois (outre le fait d'avoir des paquets à jour
régulièrement de manière automatique):
- vérifier la conf de PHP (allow_url_include = Off, register_globals =
Off, enable_dl = Off, par exemple)
- vérouiller les droits des répertoires "data" du serveur web en non
executable, non suid (je suppose que c'est possible sous BSD), si aucun
script ne nécessite de flag "executable" ; cela permet de limiter un peu
les ennuis en cas de faille (on ne peut pas copier de shell dedans, par
exemple) - idem pour tout ce qui n'est pas utile (un /tmp en noexec est
tentant, mais cela peut poser des soucis à certains scripts, à vérifier)
- filtrer les services sensibles (phpmyadmin..) via le firewall, sur
quelques IP autorisées
Pas facile après coup.. si on suit les procédures classiques, le serveur
devrait être réinstallé entièrement, mais c'est peut être trop
contraignant ici :)
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
La première chose que je vois (outre le fait d'avoir des paquets à jour
régulièrement de manière automatique):
- vérifier la conf de PHP (allow_url_include = Off, register_globals =
Off, enable_dl = Off, par exemple)
- vérouiller les droits des répertoires "data" du serveur web en non
executable, non suid (je suppose que c'est possible sous BSD), si aucun
script ne nécessite de flag "executable" ; cela permet de limiter un peu
les ennuis en cas de faille (on ne peut pas copier de shell dedans, par
exemple) - idem pour tout ce qui n'est pas utile (un /tmp en noexec est
tentant, mais cela peut poser des soucis à certains scripts, à vérifier)
- filtrer les services sensibles (phpmyadmin..) via le firewall, sur
quelques IP autorisées
Pas facile après coup.. si on suit les procédures classiques, le serveur
devrait être réinstallé entièrement, mais c'est peut être trop
contraignant ici :)
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
La première chose que je vois (outre le fait d'avoir des paquets à jour
régulièrement de manière automatique):
- vérifier la conf de PHP (allow_url_include = Off, register_globals =
Off, enable_dl = Off, par exemple)
- vérouiller les droits des répertoires "data" du serveur web en non
executable, non suid (je suppose que c'est possible sous BSD), si aucun
script ne nécessite de flag "executable" ; cela permet de limiter un peu
les ennuis en cas de faille (on ne peut pas copier de shell dedans, par
exemple) - idem pour tout ce qui n'est pas utile (un /tmp en noexec est
tentant, mais cela peut poser des soucis à certains scripts, à vérifier)
- filtrer les services sensibles (phpmyadmin..) via le firewall, sur
quelques IP autorisées
Pas facile après coup.. si on suit les procédures classiques, le serveur
devrait être réinstallé entièrement, mais c'est peut être trop
contraignant ici :)
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
- vérouiller les droits des répertoires "data" du serveur web en non
executable, non suid (je suppose que c'est possible sous BSD)
Les répertoires ont déjà des permissions limitées, je vais voir pour
le bit nonsuid, merci.
- vérouiller les droits des répertoires "data" du serveur web en non
executable, non suid (je suppose que c'est possible sous BSD)
Les répertoires ont déjà des permissions limitées, je vais voir pour
le bit nonsuid, merci.
- vérouiller les droits des répertoires "data" du serveur web en non
executable, non suid (je suppose que c'est possible sous BSD)
Les répertoires ont déjà des permissions limitées, je vais voir pour
le bit nonsuid, merci.
Gérald Niel a écrit :Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script.
La première chose que je vois (outre le fait d'avoir des paquets à jour
régulièrement de manière automatique):
- vérifier la conf de PHP (allow_url_include = Off, register_globals =
Off, enable_dl = Off, par exemple)
(un /tmp en noexec est tentant, mais cela peut poser des soucis à certains scripts, à
vérifier)
- accessoirement coller toute partition qui n'a pas besoin de droits en
écriture en "read-only" (typiquement, je le fais pour ce qui héberge
/lib, /usr, /bin, /etc, etc.)
- filtrer les services sensibles (phpmyadmin..) via le firewall, sur
quelques IP autorisées
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
Gérald Niel a écrit :
Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script.
La première chose que je vois (outre le fait d'avoir des paquets à jour
régulièrement de manière automatique):
- vérifier la conf de PHP (allow_url_include = Off, register_globals =
Off, enable_dl = Off, par exemple)
(un /tmp en noexec est tentant, mais cela peut poser des soucis à certains scripts, à
vérifier)
- accessoirement coller toute partition qui n'a pas besoin de droits en
écriture en "read-only" (typiquement, je le fais pour ce qui héberge
/lib, /usr, /bin, /etc, etc.)
- filtrer les services sensibles (phpmyadmin..) via le firewall, sur
quelques IP autorisées
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)
Gérald Niel a écrit :Suite à une négligence de ma part le serveur web a été victime d'une
attaque exploitant une faille du script phpMyAdmin et des fichier ont
été écrit dans le répertoire de ce script.
La première chose que je vois (outre le fait d'avoir des paquets à jour
régulièrement de manière automatique):
- vérifier la conf de PHP (allow_url_include = Off, register_globals =
Off, enable_dl = Off, par exemple)
(un /tmp en noexec est tentant, mais cela peut poser des soucis à certains scripts, à
vérifier)
- accessoirement coller toute partition qui n'a pas besoin de droits en
écriture en "read-only" (typiquement, je le fais pour ce qui héberge
/lib, /usr, /bin, /etc, etc.)
- filtrer les services sensibles (phpmyadmin..) via le firewall, sur
quelques IP autorisées
AIDE ("Advanced intrusion detection environment") est pas mal pour avoir
des rapports en cas de modification "non attendue" des filesystem (voir
petit topo http://www.hsc.fr/ressources/breves/aide.html.fr)