Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian Server Hack

Server Hack

59 réponses
Avatar
alain vanranst
Bonjour la liste,

config : serveur kimsufi chez ovh,

mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et rechanger
le pw ?

By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?

D'avance, merci pour votre aide.

Avr.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1377518719.16203.5.camel@phenom.lan
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
2 3 4 5 6
Avatar
Jean-Michel OLTRA
Bonjour,


Le lundi 26 août 2013, Harang Jean-Marc a écrit...


Et la détection de rootkit (Tripwire, ossec, rkhunter et autres ?) à
mettre en place avant une éventuelle intrusion, bien évidemment,
est-ce que ça reste intéressant ou pas ?



Ossec permet de la réponse active. C'est très pratique.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Mon, 26 Aug 2013 17:47:27 +0200
Johnny B wrote:

Sinon, il reste des solts comme ça:
http://www.linformaticien.com/actualites/id/29712/le-ministere-de-la-defens e-deploie-la-solution-de-securite-stormshield.aspx
;)

--
<Pif> putain je hais le code
<Pif> et je confond encore droite et gauche
<Bibi> .. Et en quoi t'a besoin de reconnaitre la droite
de la gauche quand tu code ?
<Pif> quand je code de la route oui
<Bibi> Effectivement ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Christophe
Le 26/08/2013 19:16, Bzzz a écrit :

Sinon, il reste des solts comme ça:
http://www.linformaticien.com/actualites/id/29712/le-ministere-de-la-defense-deploie-la-solution-de-securite-stormshield.aspx
;)




Ca parait bourrin sur le papier ...

Je ne sais pas si c'est voulu (et auquel cas, je ne saisis pas bien la
démarche), mais à quoi bon déployer ce genre de solutions, si c'est pour
que ça s'ébruite sur le Net de cette façon ?

Y'a pas déjà une fuite à la base ?

Une faille découverte dans le bousin, y'en a qui vont se faire plaisir
... :)

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Mon, 26 Aug 2013 19:36:25 +0200
Christophe wrote:

Une faille découverte dans le bousin, y'en a qui vont se faire
plaisir ... :)



Je ne pense pas, vu que l'article parle de failles connues
et inconnues. Ça ressemble à une policy restrictive où tout
ce qui n'est pas explicitement permis est implicitement
interdit; c'est vraisemblablement le cas et ça limite
grandement les risques (mais ça gonfle rapidement en
utilisation journalière personnelle).

--
J : Ca y est j'ai réussi à baiser une fille! :D
G : OMFG! Comment t'as fait ? :o
J : J'ai proposé un rendez-vous et j'y suis pas allé o/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
stephane.gargoly
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 26/08/13 à 16:40, alain vanranst a écrit :
Cependant, je souhaiterais :
1. comprendre
2. éventuellement, coincer le petit plaisantin.

Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".

Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande
qu'à apprendre.



Euh, un pot de miel (honeypot) peut-être ?

En tout cas, Debian propose le paquet tinyhoneypot (présent dans toute s les variantes, de oldstable à unstable). Voir la page suivante (pour Wheezy) :
- http://packages.debian.org/wheezy/tinyhoneypot

Pour se documenter, voir la page Wikipédia suivante :
- http://fr.wikipedia.org/wiki/Pot_de_miel

Cependant, il est clair qu'il vaut mieux éviter d'être "nul en s écurité"...

De façon générale, une bonne lecture peut s'avérer util e :
- (Manuel de sécurisation) http://www.debian.org/doc/manuals/securing- debian-howto/index.fr.html

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Mon, 26 Aug 2013 14:05:19 +0200
alain vanranst wrote:

mon serveur vient de se faire hackER.



Par hasard ça ne serait pas apache2, le svr http?

--
<Helgrind> Un gars du Ku Klux Klan, quand il est dépressif, il broie d u noir ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
jacques lavignotte
--047d7bd7579c05836604e4dec1d1
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Et y'aurait pas du PHP ?


J.

);


Le 26 août 2013 21:44, Bzzz a écrit :

On Mon, 26 Aug 2013 14:05:19 +0200
alain vanranst wrote:

> mon serveur vient de se faire hackER.

Par hasard ça ne serait pas apache2, le svr http?

--
<Helgrind> Un gars du Ku Klux Klan, quand il est dépressif, il broie du
noir ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--
Ceci n'est pas une signature.

--047d7bd7579c05836604e4dec1d1
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div>Et y&#39;aurait pas du PHP ? <br><br><br></div>         J.<br><br>);<br></div><div class="gmail_extra"><br><br><d iv class="gmail_quote">Le 26 août 2013 21:44, Bzzz <span dir="ltr">&l t;<a href="mailto:" target="_blank">< /a>&gt;</span> a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><div class="im">On Mon, 26 Aug 2013 14:05: 19 +0200<br>
alain vanranst &lt;<a href="mailto:">alainvanranst @gmail.com</a>&gt; wrote:<br>
<br>
</div>&gt; mon serveur vient de se faire hackER.<br>
<br>
Par hasard ça ne serait pas apache2, le svr http?<br>
<br>
--<br>
&lt;Helgrind&gt; Un gars du Ku Klux Klan, quand il est dépressif, il broi e du noir ?<br>
<div class="im"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
</div>Archive: <a href="http://lists.debian.org/ nubis.defcon1" target="_blank">http://lists.debian.org/20130826204445.61d </a><br>
<br>
</blockquote></div><br><br clear="all"><br>-- <br>Ceci n&#39;est pas une signature.
</div>

--047d7bd7579c05836604e4dec1d1--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
stephane.gargoly
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 26/08/13 à 16:57, Bzzz a écrit :
On Mon, 26 Aug 2013 16:48:50 +0200
Johnny B wrote:

> - Caler un pass root strong avec apg ou pwgen (au moins 14
> caractères)

… ne correspondant surtout pas à un mot connu, contenant
de min/maj, des chiffres (surtout pas de LEET) et des
caractères "ésotériques" (@çãž¡ etc)



"Esotériques" ??? Euh, tu as voulu dire "exotiques", non ? ;-)

Attention, certains caractères "exotiques" (ou "ésotériques" ) ne sont pas facilement accessibles au clavier (azerty ou qwerty).

Cependant, on peut aussi ajouter les signes de ponctuation (,;:!? etc.) et les autres symboles (<>=+_-# etc.).

Toujours sur les mots de passe, on peut également jouer sur d'autres p aramètres :
- la longueur,
- la fréquence de changement,
- le fait d'affecter un mot de passe diffèrent à chaque compte (y compris pour root de chaque serveur ou client)

> - Utiliser chroot

Bof.



Sauf si ça pouvait, au moins, compliquer la tâche du pirate, c'es t toujours ça de gagner, non ?

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Mon, 26 Aug 2013 22:27:58 +0300
jacques lavignotte wrote:

Et y'aurait pas du PHP ?



Je pensais plutôt à apache2 parce qu'une alerte de
sécurité est passée la semaine dernière ou celle
d'avant.

Tiens d'ailleurs, en complément, s'abonner à une ML
telle que "full disclosure" est aussi nécessaire,
histoire de clore les Sces touchés jusqu'à rustine.

--
Y : R.I.P. Disque dur :'(
A : SATA fait un choc, non ?
Y : t'as pas IDE....

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
François Boisson
Le Mon, 26 Aug 2013 16:40:06 +0200
alain vanranst a écrit:

Quels seraient les logiciels à mettre en place pour surveiller tous les
accès à ce serveur?
Est-il indispensable de passer par quelque chose comme backtrack5 ?
Y-a-t-il des mesures de surveillance plus "accessibles".




Tu as des outils permettant de vérifier l'intégrité de ton système.
Tu peux utiliser debsums pour comparer les md5sums de tes fichiers par rapport
à ceux des paquets. J'ai fait un petit logiciel (paquet surveillance sur
deb http://boisson.homeip.net/depot wheezy divers (remplace wheezy par ce que
tu veux)) qui vérifie tts les heures les md5sums des fichiers. Tu as des
outils de recherche de processus cachés (j'en avais fait un assez basique avec
l'aide de cette liste à l'époque qui s'est révélé efficace, cf paquet
cacheproc).

Pour les mots de passe une bonne méthode est de prendre une phrase que tu
connais bien, par exemple

j'aime le son du cor le soir au fond du bois

puis tu fais Majusculenombre minuscule nombre etc, chaque mot t'aide à
retrouver le symbole correspondant:

j -> J
aime -> 4
le -> l
son -> 3
du -> D
cor -> 3
soir -> s
au -> 2
fond -> F
du -> 2
bois -> b

soit J4l3D3s2F2b

En cas de doute, tu le retrouves facilement (sauf si tu te mélanges avec
«J'aime le corps d'Husson le soir au fond du boa» ou encore en cas de cuite
«J'erre le long du port le soir au Grau du Roi», là ça coince).

Voilà

François Boisson

PS: Pour retrouver le rigolo et ce qu'il a fait il aurait fallu faire une image
disque. Tu peux lire
http://lists.debian.org/debian-user-french/2003/12/msg01134.html
et
http://lists.debian.org/debian-user-french/2003/12/msg01427.html
à ce sujet. C'était du live.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
2 3 4 5 6