Complément d'info : ce sont les Hashes qui sont stockés .
Complément d'info : ce sont les Hashes qui sont stockés .
Complément d'info : ce sont les Hashes qui sont stockés .
On Mon, 26 Aug 2013 14:30:39 +0200
Christophe wrote:Oui, et il y'a même eu un gros effort de transparence dans la
communication d'OVH.
Alors c'est à saluer.
On Mon, 26 Aug 2013 14:30:39 +0200
Christophe <tech@stuxnet.org> wrote:
Oui, et il y'a même eu un gros effort de transparence dans la
communication d'OVH.
Alors c'est à saluer.
On Mon, 26 Aug 2013 14:30:39 +0200
Christophe wrote:Oui, et il y'a même eu un gros effort de transparence dans la
communication d'OVH.
Alors c'est à saluer.
Voilà, j'ai pu grâce à votre aide récupérer un accès root sur ce
serveur.
Je suis conscient qu'il est vérolé et que je ne peux plus l'utiliser de
manière (semi)professionnelle.
J'ai fait le nécessaire avec les data.
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.
Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".
Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'à apprendre.
En tous les cas, grand merci à la liste.
Avr.
Le lundi 26 août 2013 à 14:11 +0200, Johnny B a écrit :Salut,
Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.
B.
Le 08/26/2013 02:05 PM, alain vanranst a écrit :Bonjour la liste,
config : serveur kimsufi chez ovh,
mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et rechanger
le pw ?
By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?
D'avance, merci pour votre aide.
Avr.
Voilà, j'ai pu grâce à votre aide récupérer un accès root sur ce
serveur.
Je suis conscient qu'il est vérolé et que je ne peux plus l'utiliser de
manière (semi)professionnelle.
J'ai fait le nécessaire avec les data.
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.
Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".
Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'à apprendre.
En tous les cas, grand merci à la liste.
Avr.
Le lundi 26 août 2013 à 14:11 +0200, Johnny B a écrit :
Salut,
Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.
B.
Le 08/26/2013 02:05 PM, alain vanranst a écrit :
Bonjour la liste,
config : serveur kimsufi chez ovh,
mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et rechanger
le pw ?
By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?
D'avance, merci pour votre aide.
Avr.
Voilà, j'ai pu grâce à votre aide récupérer un accès root sur ce
serveur.
Je suis conscient qu'il est vérolé et que je ne peux plus l'utiliser de
manière (semi)professionnelle.
J'ai fait le nécessaire avec les data.
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.
Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".
Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'à apprendre.
En tous les cas, grand merci à la liste.
Avr.
Le lundi 26 août 2013 à 14:11 +0200, Johnny B a écrit :Salut,
Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.
B.
Le 08/26/2013 02:05 PM, alain vanranst a écrit :Bonjour la liste,
config : serveur kimsufi chez ovh,
mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et rechanger
le pw ?
By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?
D'avance, merci pour votre aide.
Avr.
Salut,
Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.
B.
Le 08/26/2013 02:05 PM, alain vanranst a écrit :
> Bonjour la liste,
>
> config : serveur kimsufi chez ovh,
>
> mon serveur vient de se faire hacké.
> Le mot de passe root a été changé, mais, pas celui de postgres.
> Je peux donc encore me connecter en ssh via ce compte.
> Connaissez-vous une méthode pour reprendre la main sur root et rechanger
> le pw ?
>
> By the way, par où dois-je commencer pour essayer de comprendre par où
> il est passé ?
>
> D'avance, merci pour votre aide.
>
> Avr.
>
Salut,
Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.
B.
Le 08/26/2013 02:05 PM, alain vanranst a écrit :
> Bonjour la liste,
>
> config : serveur kimsufi chez ovh,
>
> mon serveur vient de se faire hacké.
> Le mot de passe root a été changé, mais, pas celui de postgres.
> Je peux donc encore me connecter en ssh via ce compte.
> Connaissez-vous une méthode pour reprendre la main sur root et rechanger
> le pw ?
>
> By the way, par où dois-je commencer pour essayer de comprendre par où
> il est passé ?
>
> D'avance, merci pour votre aide.
>
> Avr.
>
Salut,
Le plus urgent est de passer en mode rescue via le Netboot de ton
manager OVH et par la suite en profiter pour changer le passwd root, et
regarder tous les fichiers de log dans l'intervalle de temps de ton
incident. Pour les bases, il est important de sécuriser SSH , mettre en
place un firewall restreint au ssh et à ton ip publique le temps de
diagnostiquer, voila pour le petit kit d'urgence en attendant les
investigations.
B.
Le 08/26/2013 02:05 PM, alain vanranst a écrit :
> Bonjour la liste,
>
> config : serveur kimsufi chez ovh,
>
> mon serveur vient de se faire hacké.
> Le mot de passe root a été changé, mais, pas celui de postgres.
> Je peux donc encore me connecter en ssh via ce compte.
> Connaissez-vous une méthode pour reprendre la main sur root et rechanger
> le pw ?
>
> By the way, par où dois-je commencer pour essayer de comprendre par où
> il est passé ?
>
> D'avance, merci pour votre aide.
>
> Avr.
>
- Caler un pass root strong avec apg ou pwgen (au moins 14
caractères)
- Utiliser chroot
Ca c'est la base ensuite il y a une panoplie de tools et autres
méthodes à appliquer (par exemple le port knocking)
- Caler un pass root strong avec apg ou pwgen (au moins 14
caractères)
- Utiliser chroot
Ca c'est la base ensuite il y a une panoplie de tools et autres
méthodes à appliquer (par exemple le port knocking)
- Caler un pass root strong avec apg ou pwgen (au moins 14
caractères)
- Utiliser chroot
Ca c'est la base ensuite il y a une panoplie de tools et autres
méthodes à appliquer (par exemple le port knocking)
Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.
Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.
Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.
Intermède culture générale anglo-saxonne, le "cracking" est la façon
de faire sauter les protections de software copyrighté, un hash de mot
de passe etc...
Le fait de compromettre un réseau ou un système est bien du "hacking".
La nuance est subtile mais elle est là.
cf. Google ou https://fr.wikipedia.org/wiki/Crack_%28informatique%29
Cordialement
Le 26/08/2013 14:15, Bzzz a écrit :Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.
Intermède culture générale anglo-saxonne, le "cracking" est la façon
de faire sauter les protections de software copyrighté, un hash de mot
de passe etc...
Le fait de compromettre un réseau ou un système est bien du "hacking".
La nuance est subtile mais elle est là.
cf. Google ou https://fr.wikipedia.org/wiki/Crack_%28informatique%29
Cordialement
Le 26/08/2013 14:15, Bzzz a écrit :
Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.
Intermède culture générale anglo-saxonne, le "cracking" est la façon
de faire sauter les protections de software copyrighté, un hash de mot
de passe etc...
Le fait de compromettre un réseau ou un système est bien du "hacking".
La nuance est subtile mais elle est là.
cf. Google ou https://fr.wikipedia.org/wiki/Crack_%28informatique%29
Cordialement
Le 26/08/2013 14:15, Bzzz a écrit :Et merci de ne pas utiliser "hacker" pour ce type d'action
qui est purement du cracking.
Voilà , j'ai pu grâce à votre aide récupérer un a ccès root sur ce
serveur.
Je suis conscient qu'il est vérolé et que je ne peux plus l'uti liser de
manière (semi)professionnelle.
J'ai fait le nécessaire avec les data.
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.
Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".
Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'Ã apprendre.
En tous les cas, grand merci à la liste.
Voilà , j'ai pu grâce à votre aide récupérer un a ccès root sur ce
serveur.
Je suis conscient qu'il est vérolé et que je ne peux plus l'uti liser de
manière (semi)professionnelle.
J'ai fait le nécessaire avec les data.
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.
Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".
Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'Ã apprendre.
En tous les cas, grand merci à la liste.
Voilà , j'ai pu grâce à votre aide récupérer un a ccès root sur ce
serveur.
Je suis conscient qu'il est vérolé et que je ne peux plus l'uti liser de
manière (semi)professionnelle.
J'ai fait le nécessaire avec les data.
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.
Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".
Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'Ã apprendre.
En tous les cas, grand merci à la liste.
On Mon, 26 Aug 2013 16:48:50 +0200
Johnny B wrote:- Caler un pass root strong avec apg ou pwgen (au moins 14
caractères)
… ne correspondant surtout pas à un mot connu, contenant
de min/maj, des chiffres (surtout pas de LEET) et des
caractères "ésotériques" (@çãž¡ etc)- Utiliser chroot
Bof.Ca c'est la base ensuite il y a une panoplie de tools et autres
méthodes à appliquer (par exemple le port knocking)
Le ports knocking ne découragera pas et ralentira peu un
attaquant déterminé.
On peut surtout rajouter à la liste le logging distant
(protégé par liaison SSH, œuf corse).
Ça permet d'avoir des logs qui tiennent la route lors de l'analyse.
On Mon, 26 Aug 2013 16:48:50 +0200
Johnny B <frozzenshell@gmail.com> wrote:
- Caler un pass root strong avec apg ou pwgen (au moins 14
caractères)
… ne correspondant surtout pas à un mot connu, contenant
de min/maj, des chiffres (surtout pas de LEET) et des
caractères "ésotériques" (@çãž¡ etc)
- Utiliser chroot
Bof.
Ca c'est la base ensuite il y a une panoplie de tools et autres
méthodes à appliquer (par exemple le port knocking)
Le ports knocking ne découragera pas et ralentira peu un
attaquant déterminé.
On peut surtout rajouter à la liste le logging distant
(protégé par liaison SSH, œuf corse).
Ça permet d'avoir des logs qui tiennent la route lors de l'analyse.
On Mon, 26 Aug 2013 16:48:50 +0200
Johnny B wrote:- Caler un pass root strong avec apg ou pwgen (au moins 14
caractères)
… ne correspondant surtout pas à un mot connu, contenant
de min/maj, des chiffres (surtout pas de LEET) et des
caractères "ésotériques" (@çãž¡ etc)- Utiliser chroot
Bof.Ca c'est la base ensuite il y a une panoplie de tools et autres
méthodes à appliquer (par exemple le port knocking)
Le ports knocking ne découragera pas et ralentira peu un
attaquant déterminé.
On peut surtout rajouter à la liste le logging distant
(protégé par liaison SSH, œuf corse).
Ça permet d'avoir des logs qui tiennent la route lors de l'analyse.