T
Technopere
ex membre
Bonjour !
Voila une des machines sur lesquels je travail se fait hacker en permanance... brute force sur le ssh par proxi, ...
Je travail sur des distrib Ubuntu server minimal (la denière LTS)
Le problème c'est qu'elle cède toujours de la même manière :
Un chmod sur les fichiers sudoers (ce qui entraine une incapacité à utilisé les commandes et de se connecter via ssh)
Un delete des /var/logs (bien évidement)
Et bon accessoirement un crash de différente chose comme apache, mysql server, etc etc
Ma question est de savoir quel intéret pour une personne de passer par des chmod du sudoers? Pourquoi elle doit faire ça pour prendre contrôle de la machine... En comprenant çà peut-être trouverais-je la faille.
Il va de sois que nos mot de passe ssh sont introuvables (12 à 15 caractères alétoire en minuscule et majuscule)
Nous avons mis en place une connections ssh criptée (mais est-ce vraiment utile?)
Les programmes sont lancés par des comptes non sudoers
On utilise :
mysql-server (reconfiguré pour ne pas avoir les comptes visteurs etc etc)
apache
teamspeak
mangos & screen
L2J
je supposerais que ça vienne de TS, une idée?
Voila une des machines sur lesquels je travail se fait hacker en permanance... brute force sur le ssh par proxi, ...
Je travail sur des distrib Ubuntu server minimal (la denière LTS)
Le problème c'est qu'elle cède toujours de la même manière :
Un chmod sur les fichiers sudoers (ce qui entraine une incapacité à utilisé les commandes et de se connecter via ssh)
Un delete des /var/logs (bien évidement)
Et bon accessoirement un crash de différente chose comme apache, mysql server, etc etc
Ma question est de savoir quel intéret pour une personne de passer par des chmod du sudoers? Pourquoi elle doit faire ça pour prendre contrôle de la machine... En comprenant çà peut-être trouverais-je la faille.
Il va de sois que nos mot de passe ssh sont introuvables (12 à 15 caractères alétoire en minuscule et majuscule)
Nous avons mis en place une connections ssh criptée (mais est-ce vraiment utile?)
Les programmes sont lancés par des comptes non sudoers
On utilise :
mysql-server (reconfiguré pour ne pas avoir les comptes visteurs etc etc)
apache
teamspeak
mangos & screen
L2J
je supposerais que ça vienne de TS, une idée?