Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1044 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Me suis fait piraté ma Debian... Help!

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Me suis fait piraté ma Debian... Help!

n°994413
gcanival
Posté le 23-12-2007 à 15:10:29  profilanswer
 

Je n'ai pas acces physiquement au serveur mais j'ai pu me connecter via un live cd (netboot) puis j'ai chrooté mon systeme.
Je voudrais re-installer tous mes paquets un par un mais plusieurs utilitaires sytemes generent des segmentations fault (apt et chmod par ex).
 
Quelqu'un a t'il une idéee, autre que re-installer la distrib, pour me sortir de la?
 
Merci d'avance,
Gilles.

mood
Publicité
Posté le 23-12-2007 à 15:10:29  profilanswer
 

n°994420
Ik12
Posté le 23-12-2007 à 15:15:23  profilanswer
 

On vas commencer par les bases: peut-on avoir plus d'infos?


---------------
on est au 21 siècle plus person ne écrit correctement sur les forum ni sur msn ni sur les SMS.
n°994425
gcanival
Posté le 23-12-2007 à 15:16:39  profilanswer
 

Ik12 a écrit :

On vas commencer par les bases: peut-on avoir plus d'infos?


Oui bien sur, mais que veux comme info?

n°994426
Ik12
Posté le 23-12-2007 à 15:17:52  profilanswer
 

Tout, quand c'est arrrive, les manips faites, ce qui se passe et tout et plus encore. :)


---------------
on est au 21 siècle plus person ne écrit correctement sur les forum ni sur msn ni sur les SMS.
n°994432
gcanival
Posté le 23-12-2007 à 15:29:03  profilanswer
 

Ik12 a écrit :

Tout, quand c'est arrrive, les manips faites, ce qui se passe et tout et plus encore. :)


Le serveur:
Debian Etch avec apache openssh-server pure-ftp mysql + un iptables que je croyais bien parametré (j'avais a tors laissé ssh accessible de partout)
 
Les applications hebergé:
Un site web sous joomla  
 
Les symptomes:
Des segmentations faullt dès que je fais un apt
Le serveur ssh ne fonctionne plus
 
Analyse rapide:
Il y a eu 2 nouveau users de créés avec un Id 0  
 
Pour le moment je n'en sais pas plus; je ne sais pas trop ou regarder non plus.
 

n°994434
Ik12
Posté le 23-12-2007 à 15:33:30  profilanswer
 

Tu peux encore avoir un acces en root? Si oui, tu dois pouvoir retablire l'ordre ans problemes


---------------
on est au 21 siècle plus person ne écrit correctement sur les forum ni sur msn ni sur les SMS.
n°994436
gcanival
Posté le 23-12-2007 à 15:40:36  profilanswer
 

Ik12 a écrit :

Tu peux encore avoir un acces en root? Si oui, tu dois pouvoir retablire l'ordre ans problemes


Oui j'ai fait redemarré le serveur en netboot (equivalent a un live cd), je me suis connecté en ssh puis j'ai chrooté mon systeme; j'ai meme redemarré apache et mysql pour faire tourner le site actuelement hebergé.

n°994438
Ik12
Posté le 23-12-2007 à 15:45:07  profilanswer
 

bah alors tu peux supprimer les comptes, desactiver la connection ssh par root ( ca devrais etre fait par defaut :/) et fixer le systeme, mais je ne peux pas te dire comment, je n'ai jamais utilise debian :/


---------------
on est au 21 siècle plus person ne écrit correctement sur les forum ni sur msn ni sur les SMS.
n°994439
gcanival
Posté le 23-12-2007 à 15:58:41  profilanswer
 

Ik12 a écrit :

bah alors tu peux supprimer les comptes, desactiver la connection ssh par root ( ca devrais etre fait par defaut :/) et fixer le systeme, mais je ne peux pas te dire comment, je n'ai jamais utilise debian :/


Mouais, justement ma question c'est comment fixer ma distrib debian???

n°994442
P-Y
Posté le 23-12-2007 à 16:22:29  profilanswer
 

Vu qu'apparemment le compte root a ete compromis, le seul moyen d'etre tranquille c'est une reinstall complete, si tu ne le fais pas tu cours le risque de devoir recommencer dans pas longtemps car l'attaquant aura trouve moyen de garder son acces...

mood
Publicité
Posté le 23-12-2007 à 16:22:29  profilanswer
 

n°994444
gcanival
Posté le 23-12-2007 à 16:33:01  profilanswer
 

P-Y a écrit :

Vu qu'apparemment le compte root a ete compromis, le seul moyen d'etre tranquille c'est une reinstall complete, si tu ne le fais pas tu cours le risque de devoir recommencer dans pas longtemps car l'attaquant aura trouve moyen de garder son acces...


Je ne peux pas re-installer ma distrib tout de suite, j'ai besoin de qqes jours et je voudrais stabiliser mon systeme en attendant.

n°994445
enfoiro
a nickname is just a nickname
Posté le 23-12-2007 à 16:46:50  profilanswer
 

à ta place je réinstallerai direct. Machine compromise = danger. De plus il faut pouvoir faire une analyse post-intrustion (forensics), pour publier le code utilisé, la faille qui a été employée et que ca ne puisse plus se reproduire.
Par exemple http://www.securityfocus.com/infocus/1769 et ca http://blog.gnist.org/article.php? [...] ayCracking
SInon tu cherche linux forensics analysis sur ggl et ca le fait.

Message cité 1 fois
Message édité par enfoiro le 23-12-2007 à 16:48:03
n°1001724
newixz
Posté le 14-01-2008 à 22:11:21  profilanswer
 

c'est marqué :> Je ne peux pas re-installer ma distrib  
 
Bonjour,
 
Sauf si tu avais un mot de passe "en mousse", cela ne viens pas de ssh.
Pour ma part je connais pas deb, mais je peux te conseillé afin que cela ne se reproduise, minimisé.
Le probleme viens, dumoins il y a beaucoup plus de chance de joomla.
on trouve beaucoup d' expls fonctionnel pr joomla, aussi pour ssh, mais généralement pas pour de la current ou latest.
 
Have Fun


Message édité par newixz le 14-01-2008 à 22:11:59

---------------
Puffy with PF is beautifull great system ^^, i love :-
n°1001764
esox_ch
Posté le 15-01-2008 à 08:34:21  profilanswer
 

enfoiro a écrit :

à ta place je réinstallerai direct. Machine compromise = danger. De plus il faut pouvoir faire une analyse post-intrustion (forensics), pour publier le code utilisé, la faille qui a été employée et que ca ne puisse plus se reproduire.
Par exemple http://www.securityfocus.com/infocus/1769 et ca http://blog.gnist.org/article.php? [...] ayCracking
SInon tu cherche linux forensics analysis sur ggl et ca le fait.


 
Merci pour les liens, très instructifs :jap:


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1001794
Taz
bisounours-codeur
Posté le 15-01-2008 à 10:24:03  profilanswer
 

gcanival a écrit :


Je ne peux pas re-installer ma distrib tout de suite, j'ai besoin de qqes jours et je voudrais stabiliser mon systeme en attendant.


Erreur monumentale. Si ton truc est compromis, il te faut immédiatement:
- arrêter le réseau
- voire arrêter la machine
- sauvegarder les données
 
 
Sans quoi si tu continues ton exploitation comme ça, il peut se passer plein de choses comme:
- suppression/corruption de tes données
- vol de tes données
- utilisation de ton serveur à ton encontre (zombie, proxy anonyme, etc)

n°1002077
THRAK
- THR4K -
Posté le 16-01-2008 à 00:28:36  profilanswer
 

Taz a écrit :


Plein de choses sensées.


Hier je suis tombé par hasard sur ce topic, c'est exactement ce que je voulais répondre quand je me suis rendu compte qu'il datait du 23/12...
 
Bref il n'y a plus qu'à espérer pour l'auteur qu'il aura eu les bons réflexes en basculant temporairement les services vers un autre serveur pendant la mise hors servive, l"analyse et la réinstallation / remise en route de la machine corrompue. Sans quoi j'imagine qu'il a pu avoir encore d'autres mauvaises surprises. :/


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
n°1002176
esox_ch
Posté le 16-01-2008 à 12:32:19  profilanswer
 

Style les flics qui debarquent le 24 soir :D

n°1002183
e_esprit
Posté le 16-01-2008 à 13:19:00  profilanswer
 

Ik12 a écrit :

Tu peux encore avoir un acces en root? Si oui, tu dois pouvoir retablire l'ordre ans problemes


On ne rétablie pas l'ordre sur une machine piratée, on formate, on réinstalle, et on repars sur une base saine (et on essaye de ne pas reproduire ses erreurs passées)


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1002185
e_esprit
Posté le 16-01-2008 à 13:20:39  profilanswer
 

Ou on la mets de coté pour l'analyser si on a les moyens de s'en passer :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1002225
enfoiro
a nickname is just a nickname
Posté le 16-01-2008 à 15:04:44  profilanswer
 

et dans le meilleur des cas il faut mettre la machine hors ligne sans l'éteindre pour analyser la corruption de la mémoire, les connections actives, les process lancés, etc...
Il existe d'ailleurs des sites pour les "0-day" c'est à dire les failles de sécu récentes.
A suivre bien sûr quand on administre  :D

n°1002353
esox_ch
Posté le 16-01-2008 à 18:59:33  profilanswer
 

Les 2 liens que tu as mis plus haut l'expliquent d'ailleurs super bien ... Je les ai lu et vraiment ... C'est hyper intéressant .. Moi quand ça marche pas  j'ai encore un peu le réflex windows : On reboot jusqu'à ce que ça marche :D

n°1002358
enfoiro
a nickname is just a nickname
Posté le 16-01-2008 à 19:23:37  profilanswer
 

esox_ch a écrit :


 
Merci pour les liens, très instructifs :jap:


 
de rien  :)  
 

esox_ch a écrit :

Les 2 liens que tu as mis plus haut l'expliquent d'ailleurs super bien ... Je les ai lu et vraiment ... C'est hyper intéressant .. Moi quand ça marche pas  j'ai encore un peu le réflex windows : On reboot jusqu'à ce que ça marche :D


 
 :lol:

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Me suis fait piraté ma Debian... Help!

 

Sujets relatifs
debian 4 ou centOS 5 ?probleme squid sous debian
[Debian Sid] KDE ne se lance pluscomment connaitre la version d'une vmware sous linux debian??
Problème à l'installation de DEBIAN 4[Résolut] Partage internet par Linux Debian pour Windows avec un hub
problème ntp sur debian vmwareInstaller GD sur Debian Sarge
[Debian] Configuration d'un clavier AppleAcrobat Reader & fichiers PDF : help!
Plus de sujets relatifs à : Me suis fait piraté ma Debian... Help!


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR