[serveur] Hack

Discussion dans 'Windows' créé par Technopere, 13 Août 2008.

Statut de la discussion:
Fermée.
  1. Offline
    Technopere ex membre
    Bonjour !


    Voila une des machines sur lesquels je travail se fait hacker en permanance... brute force sur le ssh par proxi, ...
    Je travail sur des distrib Ubuntu server minimal (la denière LTS)


    Le problème c'est qu'elle cède toujours de la même manière :

    Un chmod sur les fichiers sudoers (ce qui entraine une incapacité à utilisé les commandes et de se connecter via ssh)
    Un delete des /var/logs (bien évidement)
    Et bon accessoirement un crash de différente chose comme apache, mysql server, etc etc


    Ma question est de savoir quel intéret pour une personne de passer par des chmod du sudoers? Pourquoi elle doit faire ça pour prendre contrôle de la machine... En comprenant çà peut-être trouverais-je la faille.

    Il va de sois que nos mot de passe ssh sont introuvables (12 à 15 caractères alétoire en minuscule et majuscule)
    Nous avons mis en place une connections ssh criptée (mais est-ce vraiment utile?)
    Les programmes sont lancés par des comptes non sudoers

    On utilise :

    mysql-server (reconfiguré pour ne pas avoir les comptes visteurs etc etc)
    apache
    teamspeak
    mangos & screen
    L2J

    je supposerais que ça vienne de TS, une idée?
    Technopere, 13 Août 2008
    #1
  2. Offline
    Nmy Touriste
    pas de protection fail2ban ou denyhost et ds sshd_config pas de directive allowusers?
    Nmy, 13 Août 2008
    #2
  3. Offline
    Technopere ex membre
    pas bète le allowusers ...

    mais comme ca passe par proxi et qu'ils ont bonne liste...

    mais je pense pas que ce soit par le brute force qu'ils ont réussi à rentrer :-(
    Technopere, 13 Août 2008
    #3
  4. Offline
    becket Elite
    Salut,

    Je me pose une question à la lecture de ce sujet. Est ce que tu réinstalles à chaque fois la machine "from scratch" ou tu corriges le tir au niveau des droits / fichiers pour pouvoir repartir ?
    becket, 13 Août 2008
    #4
  5. Offline
    Technopere ex membre
    Dans la mesure ou on a même plus accès aux commandes ssh, et que le reboot en safe mode pour chmoder le tout ne fonctionne pas (merci ovh?), on doit se retaper une full install...

    Le pire c'est qu'on ne sait pas d'où ça vient...
    Vu que les fichier /var/log sont effacés, il n'y a pas moyen d'en faire facilement des duplicatas en temps réels sur une machine distante? pour qu'on puisse savoir ce qu'il se passe... ?

    Merci :)
    Technopere, 13 Août 2008
    #5
  6. Offline
    Technopere ex membre
    En voyant ta signature, je suppose que tu t'y connais un peu en cyber crime, et ce qu'il est possible de faire?

    Ca fait plusieurs fois qu'on envois des mails à OVH pour "service abuse" (pas mal de proxy pour leurs brute force etc) passent par chez eux. Mais même pas une réponse...
    Technopere, 13 Août 2008
    #6
  7. Offline
    becket Elite
    Si tu reinstalles ton serveur "From scratch", je ne vois la possiblité d'un piratage qu'au niveau d'un application que tu as installé.

    Je te conseille de commercer par sécuriser ta machine en

    - Chrootant ton apache / mysql ( même si je ne pense pas que la faille vienne de la )
    - En régénérant de nouvelles clé pour ssh
    - En déplacant le port des autres applications
    - En utilisant portsentry ( bloque les tentatives de port scan )
    - En bloquant les tentatives de connection multiples en ssh ( à la

    Pour la duplication des logs, c'est plus compliqué, si tu as une machine distante que tu peux utiliser, rien ne t'empeche de monitorer ta machine ( tail -f /var/log/message ) et ou de copier tes fichiers de log en double ( sur la machine ou sur une machine distante )


    Pour ce qui est du service abuse de chez ovh, je n'ai jamais eu recours mais il t'es possible il me semble de porter plainte ou de bloquer ces adresse dans ton firewall
    becket, 13 Août 2008
    #7
  8. Offline
    Nmy Touriste
    ben les logs ds ds la config de syslog tu peux centraliser des logs vers ton pc a perso en modifiant la ligne ds syslog.conf

    @tonipperso

    qinsi tes logs ne seront plus sur le serveur aussi, fais gaffe si tu as une ip dynamique faudra chaque jour aller changer ds syslog ou un compte je ne sais plus le nom j ai un trou pour avoir une ip fixe
    Nmy, 13 Août 2008
    #8
  9. Offline
    Technopere ex membre
    Merci pour vos réponses et désolé pour l'orthographe, c'est galère quand on est speed par le temps ...
    Technopere, 13 Août 2008
    #9
  10. Offline
    Nmy Touriste
    je viens de penser a ca....au fait tu as un historique des commandes bash lancees.....pas bcp de gens ne pensent a effacer ce fichier cau aurait ete pas mal pour retrouver qq infos sur ton hackeur
    Nmy, 13 Août 2008
    #10
  11. Offline
    [HCS]VaLiuM Elite
    On a subit ça aussi,

    la question est ils ont fait quoi, avec quels droits apparements ils ont réussi, a avoir le pass, du sudo.

    Si oui, ou sinon
    soit tu passes ton temps ( beaucoup a chercher et trouver ce qu'ils ont fait ) à réparer

    soit tu réinstalles tout from scratch en pensant plus la sécurité ( le directive AllowUsers, les ports, déplacer les ports de connection, bloquer les ports,... ).

    sinon le truc bash history, permet plus d'en savoir pour autant qu'il aie oublier
    [HCS]VaLiuM, 13 Août 2008
    #11
  12. Offline
    Nmy Touriste
    note que je pense a ca,il y avait une faille y a 4,5 mois justement ,un exploit permettant de se retrouver loggue en sudoers et donc de pouvoir se ballader sur tout le systeme,je m en souviens car j etais en formation et on s'est amuse a tester la faille sur un pc-serveur .Mais logiquement avec les mises à jour ce n est plus possible..... aussi la mise a jour bind9 a bien ete faite?
    Nmy, 14 Août 2008
    #12
  13. Offline
    Empêche le login via password et installe des clés au niveau ssh

    Vérifie que tu as bien la correction du bug OpenSSL
    ZorrObiwan, 14 Août 2008
    #13
  14. Offline
    Nmy Touriste
    voila c peut etre la au sinon prends un de nos msn et on t aidera pour config et secu tout ca
    Nmy, 14 Août 2008
    #14
Statut de la discussion:
Fermée.