[serveur] Hack

Statut
N'est pas ouverte pour d'autres réponses.
T

Technopere

ex membre
Bonjour !


Voila une des machines sur lesquels je travail se fait hacker en permanance... brute force sur le ssh par proxi, ...
Je travail sur des distrib Ubuntu server minimal (la denière LTS)


Le problème c'est qu'elle cède toujours de la même manière :

Un chmod sur les fichiers sudoers (ce qui entraine une incapacité à utilisé les commandes et de se connecter via ssh)
Un delete des /var/logs (bien évidement)
Et bon accessoirement un crash de différente chose comme apache, mysql server, etc etc


Ma question est de savoir quel intéret pour une personne de passer par des chmod du sudoers? Pourquoi elle doit faire ça pour prendre contrôle de la machine... En comprenant çà peut-être trouverais-je la faille.

Il va de sois que nos mot de passe ssh sont introuvables (12 à 15 caractères alétoire en minuscule et majuscule)
Nous avons mis en place une connections ssh criptée (mais est-ce vraiment utile?)
Les programmes sont lancés par des comptes non sudoers

On utilise :

mysql-server (reconfiguré pour ne pas avoir les comptes visteurs etc etc)
apache
teamspeak
mangos & screen
L2J

je supposerais que ça vienne de TS, une idée?
 
Nmy

Nmy

Touriste
pas de protection fail2ban ou denyhost et ds sshd_config pas de directive allowusers?
 
1er
OP
T

Technopere

ex membre
pas bète le allowusers ...

mais comme ca passe par proxi et qu'ils ont bonne liste...

mais je pense pas que ce soit par le brute force qu'ils ont réussi à rentrer :-(
 
becket

becket

Elite
Salut,

Je me pose une question à la lecture de ce sujet. Est ce que tu réinstalles à chaque fois la machine "from scratch" ou tu corriges le tir au niveau des droits / fichiers pour pouvoir repartir ?
 
1er
OP
T

Technopere

ex membre
Dans la mesure ou on a même plus accès aux commandes ssh, et que le reboot en safe mode pour chmoder le tout ne fonctionne pas (merci ovh?), on doit se retaper une full install...

Le pire c'est qu'on ne sait pas d'où ça vient...
Vu que les fichier /var/log sont effacés, il n'y a pas moyen d'en faire facilement des duplicatas en temps réels sur une machine distante? pour qu'on puisse savoir ce qu'il se passe... ?

Merci :)
 
1er
OP
T

Technopere

ex membre
becket a dit:
Salut,

Je me pose une question à la lecture de ce sujet. Est ce que tu réinstalles à chaque fois la machine "from scratch" ou tu corriges le tir au niveau des droits / fichiers pour pouvoir repartir ?
Cliquez pour agrandir...
En voyant ta signature, je suppose que tu t'y connais un peu en cyber crime, et ce qu'il est possible de faire?

Ca fait plusieurs fois qu'on envois des mails à OVH pour "service abuse" (pas mal de proxy pour leurs brute force etc) passent par chez eux. Mais même pas une réponse...
 
becket

becket

Elite
Si tu reinstalles ton serveur "From scratch", je ne vois la possiblité d'un piratage qu'au niveau d'un application que tu as installé.

Je te conseille de commercer par sécuriser ta machine en

- Chrootant ton apache / mysql ( même si je ne pense pas que la faille vienne de la )
- En régénérant de nouvelles clé pour ssh
- En déplacant le port des autres applications
- En utilisant portsentry ( bloque les tentatives de port scan )
- En bloquant les tentatives de connection multiples en ssh ( à la

Pour la duplication des logs, c'est plus compliqué, si tu as une machine distante que tu peux utiliser, rien ne t'empeche de monitorer ta machine ( tail -f /var/log/message ) et ou de copier tes fichiers de log en double ( sur la machine ou sur une machine distante )


Pour ce qui est du service abuse de chez ovh, je n'ai jamais eu recours mais il t'es possible il me semble de porter plainte ou de bloquer ces adresse dans ton firewall
 
Nmy

Nmy

Touriste
ben les logs ds ds la config de syslog tu peux centraliser des logs vers ton pc a perso en modifiant la ligne ds syslog.conf

@tonipperso

qinsi tes logs ne seront plus sur le serveur aussi, fais gaffe si tu as une ip dynamique faudra chaque jour aller changer ds syslog ou un compte je ne sais plus le nom j ai un trou pour avoir une ip fixe
 
1er
OP
T

Technopere

ex membre
Merci pour vos réponses et désolé pour l'orthographe, c'est galère quand on est speed par le temps ...
 
Nmy

Nmy

Touriste
je viens de penser a ca....au fait tu as un historique des commandes bash lancees.....pas bcp de gens ne pensent a effacer ce fichier cau aurait ete pas mal pour retrouver qq infos sur ton hackeur
 
[HCS]VaLiuM

[HCS]VaLiuM

Elite
On a subit ça aussi,

la question est ils ont fait quoi, avec quels droits apparements ils ont réussi, a avoir le pass, du sudo.

Si oui, ou sinon
soit tu passes ton temps ( beaucoup a chercher et trouver ce qu'ils ont fait ) à réparer

soit tu réinstalles tout from scratch en pensant plus la sécurité ( le directive AllowUsers, les ports, déplacer les ports de connection, bloquer les ports,... ).

sinon le truc bash history, permet plus d'en savoir pour autant qu'il aie oublier
 
Nmy

Nmy

Touriste
note que je pense a ca,il y avait une faille y a 4,5 mois justement ,un exploit permettant de se retrouver loggue en sudoers et donc de pouvoir se ballader sur tout le systeme,je m en souviens car j etais en formation et on s'est amuse a tester la faille sur un pc-serveur .Mais logiquement avec les mises à jour ce n est plus possible..... aussi la mise a jour bind9 a bien ete faite?
 
ZorrObiwan

ZorrObiwan

.
Empêche le login via password et installe des clés au niveau ssh

Vérifie que tu as bien la correction du bug OpenSSL
 
Nmy

Nmy

Touriste
voila c peut etre la au sinon prends un de nos msn et on t aidera pour config et secu tout ca
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut