Sur une Debian Sarge, un serveur dédié loué, l'hebergeur a contacté
le locataire du serveur pour lui dire que son serveur s'était fait
intruder.
Le gars, un poet à moi m'en a fait part, et m'a filé les identifiants
root de la machine. J'y accede par ssh.
J'ai installé iftop (c'est un truc qui fait comme 'top' mais pour le
réseau) et j'ai vu qu'il y a un nombre incroyable de connection sortantes
vers le port 22 (ssh) de plein d'adresses IP.
Note: Malheureusement je ne peux pas vous retraccer _exactement_ ce que
j'ai vu et fait mais je vous raconte juste les choses.
En voyant le nombre, je fais un 'netstat -taupe | grep ssh', et je vois
que c'est un process './pscan2' qui fait tout ça.
Bon premier reflexe, puisque je n'en ai pas besoin, un coup de DROP de
tout OUTPUT vers le port 22, histoire de calmer le réseau.
Le INPUT reste tel quel puisque je controle la machine avec.
'ps aux | grep pscan' me donne plein de processes au nom unique de 'jason'
Bon... un coup de boucle for avec les PID de tous les process qui ont un
rapport avec pscan et tous les pscan disparaissent... ça se calme
vraiment. Et ça ne redemarre pas. Ouf ...
Je passe un coup de 'updatebd', puis 'locate pscan'. Rien.
# cd /var/tmp
# ls -la
total 20
drwxrwxrwt 5 root root 4096 Feb 10 20:55 .
drwxr-xr-x 16 root root 4096 Jan 17 19:13 ..
drwxr-xr-x 6 jason jason 4096 Feb 16 19:21 .pzo
drwxr-xr-x 4 jason jason 4096 Feb 10 18:07 dwg
drwxrwxrwt 2 root root 4096 Jan 21 03:55 vi.recover
"jason" c'est le proprio (enfin le locataire) du serveur.
donc aparemment c'est soit lui qui s'est fait un truc histoire de me
tester, soit ben... je sais pas.
J'ai trouvé peu de truc sur pscan2 sur le net, et j'ai trouvé ceci:
Mais en général, je devrais faire quoi, a part virer/renommer/déplacer
ces fichiers dans /var/tmp? Est-ce un "faille/vulnérabilité/exploit"
connu?
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Il va pas decider de reinstaller de suite.Il sous-loue a des gugus qui font des scripts php de merde et qui ont un acces shell, mais lui il comprend pas, il veut ca c'est tout.
Il peut pas changer de bran^Wprestataire ?
Il decidera de reinstaller quand la machine sera totalement HS.
Donne tout de suite son adresse IP, qu'on soit tranquille...
XAv - les bras m'en tombent... -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Il va pas decider de reinstaller de
suite.Il sous-loue a des gugus qui font des scripts php de merde et qui
ont un acces shell, mais lui il comprend pas, il veut ca c'est tout.
Il peut pas changer de bran^Wprestataire ?
Il decidera de reinstaller quand la machine sera totalement HS.
Donne tout de suite son adresse IP, qu'on soit tranquille...
XAv - les bras m'en tombent...
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Il va pas decider de reinstaller de suite.Il sous-loue a des gugus qui font des scripts php de merde et qui ont un acces shell, mais lui il comprend pas, il veut ca c'est tout.
Il peut pas changer de bran^Wprestataire ?
Il decidera de reinstaller quand la machine sera totalement HS.
Donne tout de suite son adresse IP, qu'on soit tranquille...
XAv - les bras m'en tombent... -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Patrick Mevzek
Le Fri, 18 Feb 2005 10:14:19 +0100, Rakotomandimby (R12y) Mihamina a écrit :
Donc un niveau de la sécurité, on cherche un moyen de "colmater" avec de la rustine d'abord
L'idéal, selon moi, serait alors que la machine n'ait *PAS* d'accès direct à Internet mais qu'elle ne soit accessible que via une autre machine, elle correctement sécurisée. Ainsi vous contrôlez tout le trafic entrant/sortant et pouvez mettre en place toutes les sondes et colmatages nécessaires.
Parce que si quelqu'un a un accès root distant sur votre machine, toutes vos rustines seront débrayables.
Cependant, question coût, il n'est pas garanti que la ré-installation soit l'option la plus coûteuse: quand l'hébergeur va en avoir marre d'avoir une machine vérolée qui génère du traffic entrant et sortant anormal, il va arrêter les frais... Chez certains hébergeurs, dès qu'ils estiment la machine vérolée, ils la débranchent et ne la rebranchent qu'après paiement *et* réinstallation.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Le Fri, 18 Feb 2005 10:14:19 +0100, Rakotomandimby (R12y) Mihamina a écrit
:
Donc un niveau de la sécurité, on cherche un moyen de "colmater" avec de
la rustine d'abord
L'idéal, selon moi, serait alors que la machine n'ait *PAS* d'accès
direct à Internet mais qu'elle ne soit accessible que via une autre
machine, elle correctement sécurisée. Ainsi vous contrôlez tout le trafic
entrant/sortant et pouvez mettre en place toutes les sondes et colmatages
nécessaires.
Parce que si quelqu'un a un accès root distant sur votre machine, toutes
vos rustines seront débrayables.
Cependant, question coût, il n'est pas garanti que la ré-installation
soit l'option la plus coûteuse: quand l'hébergeur va en avoir marre
d'avoir une machine vérolée qui génère du traffic entrant et sortant
anormal, il va arrêter les frais...
Chez certains hébergeurs, dès qu'ils estiment la machine vérolée, ils la
débranchent et ne la rebranchent qu'après paiement *et* réinstallation.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Le Fri, 18 Feb 2005 10:14:19 +0100, Rakotomandimby (R12y) Mihamina a écrit :
Donc un niveau de la sécurité, on cherche un moyen de "colmater" avec de la rustine d'abord
L'idéal, selon moi, serait alors que la machine n'ait *PAS* d'accès direct à Internet mais qu'elle ne soit accessible que via une autre machine, elle correctement sécurisée. Ainsi vous contrôlez tout le trafic entrant/sortant et pouvez mettre en place toutes les sondes et colmatages nécessaires.
Parce que si quelqu'un a un accès root distant sur votre machine, toutes vos rustines seront débrayables.
Cependant, question coût, il n'est pas garanti que la ré-installation soit l'option la plus coûteuse: quand l'hébergeur va en avoir marre d'avoir une machine vérolée qui génère du traffic entrant et sortant anormal, il va arrêter les frais... Chez certains hébergeurs, dès qu'ils estiment la machine vérolée, ils la débranchent et ne la rebranchent qu'après paiement *et* réinstallation.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Rakotomandimby (R12y) Mihamina
( Fri, 18 Feb 2005 11:49:57 +0000 ) Nicob :
J'avoue ne pas avoir compris cette phrase ...
J'avoue qu'elle est pas claire, je l'ai ecrite dans l'emportement. Je reformule. Le brave homme qui loue ce serveur, à l'origine, penseait pouvoir l'administrer tout seul. Il se trouve qu'en fait en un mois il a cassé deux fois son install. Il a donc décidé de s'adresser un quelqu'un de compétent en administration pour l'assister a administrer le serveur. Hum... les faits tendent à prouver qu'il ne s'est pas adresseé à la bonne personne, puisque malgré notre assistance il se fait trouer...
Supposons qu'on reinstalle: il y aura un temps de reconfiguration non négligeable. Le serveur aurai un downtime trop important.
Il nous faut d'abord pour le moment bricoler pour maintenir l'uptime et voir une resintallation dans 3 ou 4 moi peut-être. Donc si vous avez des truc et astuces pour maintenir "normale" une machine avérée trouée, c'est ce dont je souhaite discuter.
Bon après on peut aussi discuter sur le fait que je me soit engagé a administrer ce serveur malgré mon manque d'expérience/connaissance en la matière mais c'est un autre débat...
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
( Fri, 18 Feb 2005 11:49:57 +0000 ) Nicob :
J'avoue ne pas avoir compris cette phrase ...
J'avoue qu'elle est pas claire, je l'ai ecrite dans l'emportement.
Je reformule.
Le brave homme qui loue ce serveur, à l'origine, penseait pouvoir
l'administrer tout seul. Il se trouve qu'en fait en un mois il a cassé
deux fois son install. Il a donc décidé de s'adresser un quelqu'un de compétent
en administration pour l'assister a administrer le serveur. Hum... les
faits tendent à prouver qu'il ne s'est pas adresseé à la bonne
personne, puisque malgré notre assistance il se fait trouer...
Supposons qu'on reinstalle: il y aura un temps de reconfiguration non
négligeable. Le serveur aurai un downtime trop important.
Il nous faut d'abord pour le moment bricoler pour maintenir l'uptime et
voir une resintallation dans 3 ou 4 moi peut-être. Donc si vous avez des
truc et astuces pour maintenir "normale" une machine avérée trouée,
c'est ce dont je souhaite discuter.
Bon après on peut aussi discuter sur
le fait que je me soit engagé a administrer ce serveur malgré mon manque
d'expérience/connaissance en la matière mais c'est un autre débat...
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
J'avoue qu'elle est pas claire, je l'ai ecrite dans l'emportement. Je reformule. Le brave homme qui loue ce serveur, à l'origine, penseait pouvoir l'administrer tout seul. Il se trouve qu'en fait en un mois il a cassé deux fois son install. Il a donc décidé de s'adresser un quelqu'un de compétent en administration pour l'assister a administrer le serveur. Hum... les faits tendent à prouver qu'il ne s'est pas adresseé à la bonne personne, puisque malgré notre assistance il se fait trouer...
Supposons qu'on reinstalle: il y aura un temps de reconfiguration non négligeable. Le serveur aurai un downtime trop important.
Il nous faut d'abord pour le moment bricoler pour maintenir l'uptime et voir une resintallation dans 3 ou 4 moi peut-être. Donc si vous avez des truc et astuces pour maintenir "normale" une machine avérée trouée, c'est ce dont je souhaite discuter.
Bon après on peut aussi discuter sur le fait que je me soit engagé a administrer ce serveur malgré mon manque d'expérience/connaissance en la matière mais c'est un autre débat...
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Anthony Fleury
Rakotomandimby (R12y) Mihamina wrote:
( Thu, 17 Feb 2005 18:07:20 +0000 ) Xavier :
NON. La machine est et reste trouée.
J'en suis convaincu. Maintenant, dans l'immediat, une reinstallation n'est pas envisageable.
C'est pourtant la solution qui me parait la plus... sécurisée, si il apprend en même temps à configurer la nouvelle installation. Parce que sinon la nouvelle installation subira le même sort.
Si tu veux, le gars il a deja compromis sa machine deux fois en la reinstallant en un mois de location. Il va pas decider de reinstaller de suite.Il sous-loue a des gugus qui font des scripts php de merde et qui ont un acces shell, mais lui il comprend pas, il veut ca c'est tout. Il decidera de reinstaller quand la machine sera totalement HS.
Alors, je résume ce que tu tentes de dire. Une personne loue de l'espace sur sa machine, avec un acces shell et un espace disque pour un serveur web par exemple. Donc il loue cette espace pour se faire de l'argent, et loue en fait une machine qu'il ne contrôle même pas ?? En gros, il se prend pour un hébergeur sans avoir de notion d'administration réseau ? J'espère avoir mal compris... Après on s'étonne de tout ce qui peut trainer sur Internet et qu'y brancher sa machine comme ca pour aller surfer sans sortir couvert peut ne pas être sécurisé.
Ton attitude, excuse moi de le dire comme ça, est celle du mec qui tombe du 90ième étage : "jusqu'ici, tout va bien"
Non. du 90 eme etage quand tu tombe t'as interet a voir la vie en bien parceque ce sont tes dernieres secondes a vivre.
Ca pourrait bien être le cas pour sa machine.
Anthony - épaté et qui espère avoir mal compris. -- Alan Turing thought about criteria to settle the question of whether machines can think, a question of which we now know that it is about as relevant as the question of whether submarines can swim. -- Dijkstra
Rakotomandimby (R12y) Mihamina wrote:
( Thu, 17 Feb 2005 18:07:20 +0000 ) Xavier :
NON. La machine est et reste trouée.
J'en suis convaincu.
Maintenant, dans l'immediat, une reinstallation n'est pas envisageable.
C'est pourtant la solution qui me parait la plus... sécurisée, si il apprend
en même temps à configurer la nouvelle installation. Parce que sinon la
nouvelle installation subira le même sort.
Si tu veux, le gars il a deja compromis sa machine deux fois en la
reinstallant en un mois de location. Il va pas decider de reinstaller de
suite.Il sous-loue a des gugus qui font des scripts php de merde et qui
ont un acces shell, mais lui il comprend pas, il veut ca c'est tout. Il
decidera de reinstaller quand la machine sera totalement HS.
Alors, je résume ce que tu tentes de dire. Une personne loue de l'espace sur
sa machine, avec un acces shell et un espace disque pour un serveur web par
exemple. Donc il loue cette espace pour se faire de l'argent, et loue en
fait une machine qu'il ne contrôle même pas ?? En gros, il se prend pour un
hébergeur sans avoir de notion d'administration réseau ? J'espère avoir mal
compris...
Après on s'étonne de tout ce qui peut trainer sur Internet et qu'y brancher
sa machine comme ca pour aller surfer sans sortir couvert peut ne pas être
sécurisé.
Ton attitude, excuse moi de le dire comme ça, est celle du mec qui
tombe du 90ième étage : "jusqu'ici, tout va bien"
Non. du 90 eme etage quand tu tombe t'as interet a voir la vie en bien
parceque ce sont tes dernieres secondes a vivre.
Ca pourrait bien être le cas pour sa machine.
Anthony - épaté et qui espère avoir mal compris.
--
Alan Turing thought about criteria to settle the question of whether
machines can think, a question of which we now know that it is about as
relevant as the question of whether submarines can swim.
-- Dijkstra
J'en suis convaincu. Maintenant, dans l'immediat, une reinstallation n'est pas envisageable.
C'est pourtant la solution qui me parait la plus... sécurisée, si il apprend en même temps à configurer la nouvelle installation. Parce que sinon la nouvelle installation subira le même sort.
Si tu veux, le gars il a deja compromis sa machine deux fois en la reinstallant en un mois de location. Il va pas decider de reinstaller de suite.Il sous-loue a des gugus qui font des scripts php de merde et qui ont un acces shell, mais lui il comprend pas, il veut ca c'est tout. Il decidera de reinstaller quand la machine sera totalement HS.
Alors, je résume ce que tu tentes de dire. Une personne loue de l'espace sur sa machine, avec un acces shell et un espace disque pour un serveur web par exemple. Donc il loue cette espace pour se faire de l'argent, et loue en fait une machine qu'il ne contrôle même pas ?? En gros, il se prend pour un hébergeur sans avoir de notion d'administration réseau ? J'espère avoir mal compris... Après on s'étonne de tout ce qui peut trainer sur Internet et qu'y brancher sa machine comme ca pour aller surfer sans sortir couvert peut ne pas être sécurisé.
Ton attitude, excuse moi de le dire comme ça, est celle du mec qui tombe du 90ième étage : "jusqu'ici, tout va bien"
Non. du 90 eme etage quand tu tombe t'as interet a voir la vie en bien parceque ce sont tes dernieres secondes a vivre.
Ca pourrait bien être le cas pour sa machine.
Anthony - épaté et qui espère avoir mal compris. -- Alan Turing thought about criteria to settle the question of whether machines can think, a question of which we now know that it is about as relevant as the question of whether submarines can swim. -- Dijkstra
Eric Razny
Patrick Mevzek wrote:
Le Fri, 18 Feb 2005 10:14:19 +0100, Rakotomandimby (R12y) Mihamina a écrit
Chez certains hébergeurs, dès qu'ils estiment la machine vérolée, ils la débranchent et ne la rebranchent qu'après paiement *et* réinstallation.
Si je paye pour une certaine bande passante et que le gus me débranche la machine au lieu de limiter la BP ça va chier pour lui en justice[1](sauf si son contrat le prévoit mais j'aurais été voir ailleurs ou que ma machine se transforme en openrelay -auquel cas il peut être en danger à cause de BL sur sa plage d'adresse IP).
Pour en revenir au cas présenté je trouve quand même irresponsable de laisser en place la machine plus que potentiellement compromise (surtout si on vend, même partiellement, de la sécu!).
Au minimum tu peux au moins tenter de bloquer tous les ports (sauf un ssh sur ton ip par exemple) et de faire un D/SNAT vers une autres machine mise en place où tu veux pour l'occasion (ton prestataire peut peut être même règler ça en amount de ta machine ce qui évite les gags de portknocking).
En ayant préparé[2] à l'avance cette machine (backup de la première) tu n'a qu'à transférer la différence au dernier moment et ça doit te permettre un downtime très faible. Ensuite tu réinstalle tranquillement ta machine et même chose en sens inverse.
Eric.
[1] je reste responsable des actions de ma machine. [2] sans le/les trous d'origine bien sur!
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Patrick Mevzek wrote:
Le Fri, 18 Feb 2005 10:14:19 +0100, Rakotomandimby (R12y) Mihamina a écrit
Chez certains hébergeurs, dès qu'ils estiment la machine vérolée, ils la
débranchent et ne la rebranchent qu'après paiement *et* réinstallation.
Si je paye pour une certaine bande passante et que le gus me débranche
la machine au lieu de limiter la BP ça va chier pour lui en
justice[1](sauf si son contrat le prévoit mais j'aurais été voir
ailleurs ou que ma machine se transforme en openrelay -auquel cas il
peut être en danger à cause de BL sur sa plage d'adresse IP).
Pour en revenir au cas présenté je trouve quand même irresponsable de
laisser en place la machine plus que potentiellement compromise (surtout
si on vend, même partiellement, de la sécu!).
Au minimum tu peux au moins tenter de bloquer tous les ports (sauf un
ssh sur ton ip par exemple) et de faire un D/SNAT vers une autres
machine mise en place où tu veux pour l'occasion (ton prestataire peut
peut être même règler ça en amount de ta machine ce qui évite les gags
de portknocking).
En ayant préparé[2] à l'avance cette machine (backup de la première) tu
n'a qu'à transférer la différence au dernier moment et ça doit te
permettre un downtime très faible. Ensuite tu réinstalle tranquillement
ta machine et même chose en sens inverse.
Eric.
[1] je reste responsable des actions de ma machine.
[2] sans le/les trous d'origine bien sur!
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Le Fri, 18 Feb 2005 10:14:19 +0100, Rakotomandimby (R12y) Mihamina a écrit
Chez certains hébergeurs, dès qu'ils estiment la machine vérolée, ils la débranchent et ne la rebranchent qu'après paiement *et* réinstallation.
Si je paye pour une certaine bande passante et que le gus me débranche la machine au lieu de limiter la BP ça va chier pour lui en justice[1](sauf si son contrat le prévoit mais j'aurais été voir ailleurs ou que ma machine se transforme en openrelay -auquel cas il peut être en danger à cause de BL sur sa plage d'adresse IP).
Pour en revenir au cas présenté je trouve quand même irresponsable de laisser en place la machine plus que potentiellement compromise (surtout si on vend, même partiellement, de la sécu!).
Au minimum tu peux au moins tenter de bloquer tous les ports (sauf un ssh sur ton ip par exemple) et de faire un D/SNAT vers une autres machine mise en place où tu veux pour l'occasion (ton prestataire peut peut être même règler ça en amount de ta machine ce qui évite les gags de portknocking).
En ayant préparé[2] à l'avance cette machine (backup de la première) tu n'a qu'à transférer la différence au dernier moment et ça doit te permettre un downtime très faible. Ensuite tu réinstalle tranquillement ta machine et même chose en sens inverse.
Eric.
[1] je reste responsable des actions de ma machine. [2] sans le/les trous d'origine bien sur!
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
FAb
"Rakotomandimby (R12y) Mihamina" writes:
[...]
Supposons qu'on reinstalle: il y aura un temps de reconfiguration non négligeable. Le serveur aurai un downtime trop important.
Peu importe non ? Il construit un bon système sain, il l'apprivoise, il en fait une image. Et à la prochaine install (manuelle est gratuite avec tar ssh) il gagnera un temps fou...
Bref, passsons.
J'ai un ami a qui il vient d'arriver la même chose. L'hébergeur a coupé la machine violemment. On sait par où il est rentré (php + étourderie de conf). Mais pas encore comment il a réussi un exploit derrière.
Quelles sont les bonnes pratiques sur un serveur LAMP avec fort trafic ?
En dehors des patchs et mises-à-jour régulières mais pas toujours évidentes en ce qui concerne le noyau sur une machine de prod. Existe-il des moyens tout simples pour ralentir ou gêner les kiddies qui auraient réussi à détourner un script php/perl ? - Interdire gcc aux utilisateurs non root ne semble plus suffisant car les exploits sont de plus en plus rapatriés prêts à servir. - Empêcher le rapatriement ?? avec l'usage de ssh cela semble incontrôlable. - Piéger les utilitaires sensibles pour qu'ils préviennent par mail sur une BAL externe lors d'usage douteux ?? (savoir gérer la quantité d'infos...)
Hormis ces bricolages voyez-vous de bonnes et saines pratiques sur une machine hébergée ?
Les outils dédiés à la sécurité comme snort ont-ils ont coup en ressources négligeable sur un serveur de prod ? (hmm et la marmotte...)
V'là quoi un petit rappel ne ferait pas de mal je pense. Cordialement,
Supposons qu'on reinstalle: il y aura un temps de reconfiguration non
négligeable. Le serveur aurai un downtime trop important.
Peu importe non ? Il construit un bon système sain, il l'apprivoise, il en fait
une image. Et à la prochaine install (manuelle est gratuite avec tar ssh) il
gagnera un temps fou...
Bref, passsons.
J'ai un ami a qui il vient d'arriver la même chose. L'hébergeur a coupé la
machine violemment. On sait par où il est rentré (php + étourderie de
conf). Mais pas encore comment il a réussi un exploit derrière.
Quelles sont les bonnes pratiques sur un serveur LAMP avec fort trafic ?
En dehors des patchs et mises-à-jour régulières mais pas toujours évidentes en
ce qui concerne le noyau sur une machine de prod. Existe-il des moyens tout
simples pour ralentir ou gêner les kiddies qui auraient réussi à détourner un
script php/perl ?
- Interdire gcc aux utilisateurs non root ne semble plus suffisant car les
exploits sont de plus en plus rapatriés prêts à servir.
- Empêcher le rapatriement ?? avec l'usage de ssh cela semble incontrôlable.
- Piéger les utilitaires sensibles pour qu'ils préviennent par mail sur une BAL
externe lors d'usage douteux ?? (savoir gérer la quantité d'infos...)
Hormis ces bricolages voyez-vous de bonnes et saines pratiques sur une machine
hébergée ?
Les outils dédiés à la sécurité comme snort ont-ils ont coup en ressources
négligeable sur un serveur de prod ? (hmm et la marmotte...)
V'là quoi un petit rappel ne ferait pas de mal je pense.
Cordialement,
Supposons qu'on reinstalle: il y aura un temps de reconfiguration non négligeable. Le serveur aurai un downtime trop important.
Peu importe non ? Il construit un bon système sain, il l'apprivoise, il en fait une image. Et à la prochaine install (manuelle est gratuite avec tar ssh) il gagnera un temps fou...
Bref, passsons.
J'ai un ami a qui il vient d'arriver la même chose. L'hébergeur a coupé la machine violemment. On sait par où il est rentré (php + étourderie de conf). Mais pas encore comment il a réussi un exploit derrière.
Quelles sont les bonnes pratiques sur un serveur LAMP avec fort trafic ?
En dehors des patchs et mises-à-jour régulières mais pas toujours évidentes en ce qui concerne le noyau sur une machine de prod. Existe-il des moyens tout simples pour ralentir ou gêner les kiddies qui auraient réussi à détourner un script php/perl ? - Interdire gcc aux utilisateurs non root ne semble plus suffisant car les exploits sont de plus en plus rapatriés prêts à servir. - Empêcher le rapatriement ?? avec l'usage de ssh cela semble incontrôlable. - Piéger les utilitaires sensibles pour qu'ils préviennent par mail sur une BAL externe lors d'usage douteux ?? (savoir gérer la quantité d'infos...)
Hormis ces bricolages voyez-vous de bonnes et saines pratiques sur une machine hébergée ?
Les outils dédiés à la sécurité comme snort ont-ils ont coup en ressources négligeable sur un serveur de prod ? (hmm et la marmotte...)
V'là quoi un petit rappel ne ferait pas de mal je pense. Cordialement,
FAb
Rakotomandimby (R12y) Mihamina
( Fri, 18 Feb 2005 14:07:32 +0000 ) Anthony Fleury :
Alors, je résume ce que tu tentes de dire. Une personne loue de l'espace sur sa machine, avec un acces shell et un espace disque pour un serveur web par exemple. Donc il loue cette espace pour se faire de l'argent, et loue en fait une machine qu'il ne contrôle même pas ?? En gros, il se prend pour un hébergeur sans avoir de notion d'administration réseau ? J'espère avoir mal compris...
-il heberge du php/MySQL à pas cher (osCOmmerce, ça vaut quoi en qualité de codage par rapport à la propreté de phpBB?). Je le lui ai déconseillé, mais bon...
-il ne sait pas changer un passwd via ssh, c'est moi qui lui ai appris.
-il nous a demandé de l'assister, mais pour le prix qu'il y consacre par mois, moi je peux pas lui garantir une surveillance 24/24 et dédiée.
-(une partie de) la faute est à moi, j'aurais du prendre plus de temps à configurer proprement le système, mais vu qu'il était en retard sur son calendrier, il m'a demandé de faire en sorte que "ça marche" d'abord. On verrait ensuite pour la personnalisation.
- je n'ai pas eu le temps de faire la personnalisation de la conf, elle s'est déjà fait trouer...
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
( Fri, 18 Feb 2005 14:07:32 +0000 ) Anthony Fleury :
Alors, je résume ce que tu tentes de dire. Une personne loue de l'espace sur
sa machine, avec un acces shell et un espace disque pour un serveur web par
exemple. Donc il loue cette espace pour se faire de l'argent, et loue en
fait une machine qu'il ne contrôle même pas ?? En gros, il se prend pour un
hébergeur sans avoir de notion d'administration réseau ? J'espère avoir mal
compris...
-il heberge du php/MySQL à pas cher (osCOmmerce, ça vaut quoi en
qualité de codage par rapport à la propreté de phpBB?). Je le lui ai
déconseillé, mais bon...
-il ne sait pas changer un passwd via ssh, c'est moi qui lui ai
appris.
-il nous a demandé de l'assister, mais pour le prix qu'il y consacre par
mois, moi je peux pas lui garantir une surveillance 24/24 et dédiée.
-(une partie de) la faute est à moi, j'aurais du prendre plus de temps à
configurer proprement le système, mais vu qu'il était en retard sur son
calendrier, il m'a demandé de faire en sorte que "ça marche" d'abord. On
verrait ensuite pour la personnalisation.
- je n'ai pas eu le temps de faire la personnalisation de la conf, elle
s'est déjà fait trouer...
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
( Fri, 18 Feb 2005 14:07:32 +0000 ) Anthony Fleury :
Alors, je résume ce que tu tentes de dire. Une personne loue de l'espace sur sa machine, avec un acces shell et un espace disque pour un serveur web par exemple. Donc il loue cette espace pour se faire de l'argent, et loue en fait une machine qu'il ne contrôle même pas ?? En gros, il se prend pour un hébergeur sans avoir de notion d'administration réseau ? J'espère avoir mal compris...
-il heberge du php/MySQL à pas cher (osCOmmerce, ça vaut quoi en qualité de codage par rapport à la propreté de phpBB?). Je le lui ai déconseillé, mais bon...
-il ne sait pas changer un passwd via ssh, c'est moi qui lui ai appris.
-il nous a demandé de l'assister, mais pour le prix qu'il y consacre par mois, moi je peux pas lui garantir une surveillance 24/24 et dédiée.
-(une partie de) la faute est à moi, j'aurais du prendre plus de temps à configurer proprement le système, mais vu qu'il était en retard sur son calendrier, il m'a demandé de faire en sorte que "ça marche" d'abord. On verrait ensuite pour la personnalisation.
- je n'ai pas eu le temps de faire la personnalisation de la conf, elle s'est déjà fait trouer...
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Il va pas decider de reinstaller de suite.Il sous-loue a des gugus qui font des scripts php de merde et qui ont un acces shell, mais lui il comprend pas, il veut ca c'est tout.
Il peut pas changer de bran^Wprestataire ?
Tu parles de moi? ou c'est de l'humour? -- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Il va pas decider de reinstaller de
suite.Il sous-loue a des gugus qui font des scripts php de merde et qui
ont un acces shell, mais lui il comprend pas, il veut ca c'est tout.
Il peut pas changer de bran^Wprestataire ?
Tu parles de moi? ou c'est de l'humour?
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Il va pas decider de reinstaller de suite.Il sous-loue a des gugus qui font des scripts php de merde et qui ont un acces shell, mais lui il comprend pas, il veut ca c'est tout.
Il peut pas changer de bran^Wprestataire ?
Tu parles de moi? ou c'est de l'humour? -- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Rakotomandimby (R12y) Mihamina
( Fri, 18 Feb 2005 16:27:13 +0000 ) FAb :
V'là quoi un petit rappel ne ferait pas de mal je pense.
Merci. Mais:
1) une machine sur laquelle s'est executée un binaire lancé depuis /tmp/ ou /var/tmp est-elle à coup sur root-kitée ? En effet, ce sont des repertoires wide-writable... pas besoin d'être root pour y ecrire.
2) Ok , l'intrus a réussi a faire tourner sa merde sous l'user du locataire du serveur. C'est par là qu'on en déduis qu'il a reussi a avoir plus de privilèges qu'un simple user ?
3) J'ai mal fait (une partie de) mon boulot. Ok. Bon maintenant, réinstaller...
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
( Fri, 18 Feb 2005 16:27:13 +0000 ) FAb :
V'là quoi un petit rappel ne ferait pas de mal je pense.
Merci.
Mais:
1) une machine sur laquelle s'est executée un binaire lancé depuis /tmp/
ou /var/tmp est-elle à coup sur root-kitée ? En effet, ce sont des
repertoires wide-writable... pas besoin d'être root pour y ecrire.
2) Ok , l'intrus a réussi a faire tourner sa merde sous l'user du
locataire du serveur. C'est par là qu'on en déduis qu'il a reussi a
avoir plus de privilèges qu'un simple user ?
3) J'ai mal fait (une partie de) mon boulot. Ok. Bon maintenant,
réinstaller...
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
V'là quoi un petit rappel ne ferait pas de mal je pense.
Merci. Mais:
1) une machine sur laquelle s'est executée un binaire lancé depuis /tmp/ ou /var/tmp est-elle à coup sur root-kitée ? En effet, ce sont des repertoires wide-writable... pas besoin d'être root pour y ecrire.
2) Ok , l'intrus a réussi a faire tourner sa merde sous l'user du locataire du serveur. C'est par là qu'on en déduis qu'il a reussi a avoir plus de privilèges qu'un simple user ?
3) J'ai mal fait (une partie de) mon boulot. Ok. Bon maintenant, réinstaller...
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
xavier
Rakotomandimby (R12y) Mihamina wrote:
Tu parles de moi? ou c'est de l'humour?
Non, je parle (et je te cite) "des gugus qui font des scripts php de merde et qui ont un acces shell".
