Me suis fait hacker mon serveur - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-04-2003 à 11:13:17
c t kwa ton serveur, ou , et qui faisait quoi ?
Marsh Posté le 19-04-2003 à 11:40:49
smon serveur web a la fac, ss mandrake 9
normalement mis a jour régulièrement mais bon
je pense a une feinte par pro ftp (si c ca spa hyper grave) mais si je me suis fait feinter par ssh spa cool
Marsh Posté le 19-04-2003 à 12:31:51
bitman a écrit : smon serveur web a la fac, ss mandrake 9 |
Une Mandrake sur un server, jamais tu ne mettras.
Marsh Posté le 19-04-2003 à 12:51:35
bha non mon serveur Mdk 7.1-> 9.0 n'a jamais eu de prob de piratage... firewall + logiciels et services updatés régulièrement + services chrootés.
tu avais quoi comme service lancé ??
ça tombe, tu avais apache+php et du code php qui fait qu'en moins de 30sec tu prends le contôle du serveur...
Marsh Posté le 19-04-2003 à 13:00:02
samuelp a écrit : |
c pas pire kune suse... (ki a dit ke vendredi ct hier ?)
Marsh Posté le 19-04-2003 à 13:02:57
ethernal a écrit : bha non mon serveur Mdk 7.1-> 9.0 n'a jamais eu de prob de piratage... firewall + logiciels et services updatés régulièrement + services chrootés. |
hein ?
bah j'avais php mysql, webmin et samba
Marsh Posté le 19-04-2003 à 13:03:35
bon, je formatte, j'en profite pour foutre la mdk 9.1 tant ka faire, des conseils pour sécure le truc ?
Marsh Posté le 19-04-2003 à 13:05:16
bitman a écrit : bon, je formatte, j'en profite pour foutre la mdk 9.1 tant ka faire, des conseils pour sécure le truc ? |
ouais
reformater, et foutre une debian...
Marsh Posté le 19-04-2003 à 13:15:30
ReplyMarsh Posté le 19-04-2003 à 13:21:00
bitman a écrit : g trouvé personne pour m'aider |
C pas dure bordail ! c une legende urbaine de dire que c compliker !
Marsh Posté le 19-04-2003 à 13:23:07
parano a écrit : |
bah j'ai déja installé une deb, sté vraiment le foutoir pour les trucs de base alors pour bien peaufiner le merdier j'en aurais eu pour 1 ans tout seul
je suis pas contre, j'ai vu c vraiment plus net comme systeme mais j'ai pas encore le power pour connaitre tous les fichiers de conf, scusi
quoique la slaxk m'avais encore plus séduit en fait, mais pas de syst de paquetages comme apt ou urpmi ca me faisait chier de compiler les machines a chaque fois
Marsh Posté le 19-04-2003 à 13:24:12
faire attention avec le ftp + http
si tu as des comptes en upload comme par exemple "anonymous" etq ue ton serveur http partage ces répertoires d'upload, c'est assez facile de prendre la main sur la machine... du genre le gars upload un script php, il repère un peu comment c'est rangé, il pointe ensuite son browser sur le bon chemin, voilà, ni vu ni connu...
ça peut très bien arrivé si tu ne fais pas attention aux droits, je te conseillerais plutôt de mettre pure-ftp, d'aplliquer les règles "anti-warez" qui font que les fichiers doivent être validés par l'admin (ou par un script éxécuté par cron par exemple), puis éviter de partager les répertoires ftp avec droit en écriture avec le serveur http
je pense que le gars s'en ai donné à coeur joie avec ptrace si ton noyau n'était pas patché, avec un compte apache, nobody, ... tu peux facilement chopper les droits root
edit : ne pas mettre de shell pour les comptes systèmes fait aussi partie d'une bonne sécurité
edit 2 : faites attention aussi, celui qui arrive à rentrer sur votre passerelle/serveur comme pour bitman, peut très bien chopper les info de votre connexion internet, c'est simple une fois les droits root obtenus, si tu vois que tu as des soucis avec ta connexion, demande à ton FAI de te redonner un autre identifiant/mot de passe, parce qu'il n'y a pas que des crashers, il y a des hackers qui font juste ça comme ça pour montrer la vulnérabilté puis qui s'en vont en laissant juste un p'tit mot, et d'autre qui vont chercher des informations personnelles sur la machine qu'ils pourront exploiter e,nsuite ou se faire un p'tit accès pour venir quand ils veulent sur la machine
Marsh Posté le 19-04-2003 à 13:42:20
samuelp a écrit : |
c'est nul ce genre de réflexion "ma distro est meilleure que la tienne...".
C'est la façon dont tu l'administres qui compte !
Marsh Posté le 19-04-2003 à 13:47:40
BMOTheKiller a écrit : faire attention avec le ftp + http |
interessant tt ca
en fait sur ma machine (a la fac, pas chez moi donc yavais rien de perso qui trainait) yavais juste le ftp qui me permettais d'uploader mes sites, mais il a du bousiller des trucs car je pouvais plus me logger en user, et comme mon install ne permettais pas le log en root ben DMC
bon de tte faonc la g formatté, jvais voir avec la secu max ske ca donne
Marsh Posté le 19-04-2003 à 13:49:13
Bon pareil je connais quelqu'un qui s'est fait hacker sa mandrake sur netissimo1 (mais le w4rl0rd de service a été moins gentil il lui a effacé tout le disque dur), mais le truc c'est que ca aurait été pareil avec n'importe quelle distribution, suse, debian, gentoo, redhat, *bsd.
C'est simple: il a installé samba pour apprendre comment ça marchait, mais
- il n'a pas restreint l'interface sur lequel samba ecoute à celle de son réseau local
- il n'avait pas de firewall
- il n'avait pas installé les mises à jour de sécu
Mandrake n'est pas 'h4ck4ble les d01gts d4ns le n3z s'trop izi' et debian 'r0l4l4 s'trop dur j'arr1ve p4s à la h4cker', c'est juste à la personne qui administre la machine de faire son boulot et de respecter un minimum de règles. D'ailleurs c'est exactement pareil pour les machines windows avec codered slammer &co
Marsh Posté le 19-04-2003 à 14:04:34
chroot tes services :
http://linuxfocus.mirror.or.kr/Fra [...] e225.shtml
chroot d'apache : http://penguin.epfl.ch/chroot.html
au lieu du pgm chroot utilise uchroot (http://www.carcosa.net/jason/software/utilities/uchroot/)
il permet de chrooté sous un autre utilisateur que celui qui lance le démon (root)
Marsh Posté le 19-04-2003 à 19:36:05
ethernal a écrit : chroot tes services : |
ca a l'air complexe mais jvais etudier ca
la j'ai reinstall avec iptable et prélude, mais c chelou la config du machin
Marsh Posté le 19-04-2003 à 19:47:25
Tu avais bien tout mis à jour, y compris le kernel ? Le kernel ne se met pas à jour automatiquement, il faut utiliser urpmi kernel.
Marsh Posté le 19-04-2003 à 23:15:30
et ya eu un enorme trou de securité dans webmin et ssh recemment non ? (enfin 2 mois quoi)
Marsh Posté le 19-04-2003 à 23:30:20
bitman a écrit : ca a l'air complexe mais jvais etudier ca |
bof, prelude une fois que le gars est rentré, il est rentré hein
c'est bien pour une boîte mais finalement pour une utilisation perso, à part se faire remplir sa bdd par du nimda et dire "ah ben merde alors, c'est pas son IP, c'est un proxy"... le bon truc à mettre c'est iptables bien configuré, les bons droits sur des services bien épurés, le moins d'utilisateurs possible avec un compte accessible, un noyau stable, ... tu peux aussi laisser quelques ports ouverts sans rien dessus et installer portsentry avec des règles strictes, du grenre quelqu'un te scan 2 ports privilégiés à suivre dans un laps de temps, zou y se mange un drop sur son ip et t'en entends plus parler, en y ajoutant le refus aux réponses de ping en bloquant avec iptables les icmp que tu n'as pas toi-même envoyé...
Marsh Posté le 19-04-2003 à 23:31:28
netswitch a écrit : et ya eu un enorme trou de securité dans webmin et ssh recemment non ? (enfin 2 mois quoi) |
Oui :
http://www.mandrakesecure.net/en/a [...] A-2003:025
la liste pour 9.0 :
http://www.mandrakesecure.net/en/a [...] hp?dis=9.0
Mandrake fait un très beau boulot pour maintenir les paquets a jour, ici :
http://www.mandrakesecure.com
-> toutes les alertes, mises-à-jour sont référencées, et il y a 5 mailing lists pour être averti.
Marsh Posté le 19-04-2003 à 23:35:08
d'ailleurs sur webmin.com ils ont viré l'avertissement, ils disaient qu'une mise à jour en 1.070 était très fortement conseillée
Marsh Posté le 20-04-2003 à 01:28:18
bitman a écrit : qqun peut m'expliquer ca ?
|
Marsh Posté le 20-04-2003 à 01:44:18
drapal
je propose k on fasse de ce post le Topic Unik sur la securisation des passerelles, nan
genre un bon gros resume des choses a faire et ne pas faire pour avoir une passerelle secure
je peux creer un autre topic si vous voulez
voilou
EDIT : j ai cree un topic unik en fait
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
Marsh Posté le 20-04-2003 à 01:53:47
tomate77 a écrit : drapal |
vasy , moi ca m'interresse en tout cas
Marsh Posté le 20-04-2003 à 01:54:51
ipnoz a écrit : |
aye c cree et en construction surtout
Marsh Posté le 20-04-2003 à 02:01:10
au faite , moi j'ai pas trop compris ce qu'il c'est passé , tu peux m'expliquer steuplé zzozo ?
Marsh Posté le 20-04-2003 à 02:04:36
bitman a écrit : ca a l'air complexe mais jvais etudier ca |
Voilà enfin chose auquel je peux répondre
Déjà, je te conseille de mettre un firewall entre ton serveur et le net... De plus sur ce firewall (qui n'a pas du tout besoin d'etre un bete de course) je conseille d'installer snort qui est l'IDS le mieux que j'ai pu rencontrer jusque là... Un IDS n'est pas un firewall mais un système de détection d'intrusion. Sa base est la plus à jour, même les IDS materiel de CA n'ont pas toutes ses signatures (à la plus grande surprise de tout le monde)
Ensuite, une fois snort et iptable ou ipfilter de configuré, tu peux t'occuper de ton serveur... Aux conseilles de BMOTheKiller tu peux rajouter quelque chose de très important, déporter les logs (cf la doc de syslog) sur une autre station !!! Il sera plus difficle pour des visiteurs de hacker une autre machine pour effacer leurs traces, et toi tu auras plus de chance d'avoir de quoi retrouver les traces de ces intrus.
De plus comme conseillé plus haut, il est PRIMORDIAL de chrooté tous les process qui ont accès au net... C'est le minimum... Ce n'est pas si compliqué que cela parait, il faut juste lire la doc et ça passe comme papa dans maman
Après il y'a quelques petites choses interessantes que tu peux mettre, comme portsentry, changer les bannières de façon à ne donner aucun renseignement sur le type de machine du serveur, changer la signature du noyau etc... Bcp de doc existe sur le net, mais il faut être anglophone pour avoir les docs les plus intéressantes...
Je te conseille le formatage complet de la machine qui a été compromise mais en plus, un examen très très très appronfondie des stations et/ou autres serveurs qui était accessible via ton serveur compromis... Et il faut faire vite, le temps est contre toi ! Bonne chance...
Marsh Posté le 20-04-2003 à 02:28:00
ipnoz a écrit : |
Pas compris quoi ? Comment il s'est fait "hacker" (j'aime pas ce terme ... )
Cé très souvent le même scénario ...
les "crackers" (de belin ... ) essayent plusieurs "recettes" connues pour compromettre un des services présents sur la machine en question afin de "réaliser" une élévation de privilèges (c'est plus ou moins rapide suivant les failles rencontrées) et prendre controle (totalement ou partiellement, mé cé plus rare) de la machine en question ...
Mais bon, de mon expérience, quand y'a PHP (cé la même chose pour ASP d'ailleurs ...) dans les parages, faut faire super gaffe au code des scripts, notamment aux includes à la con ... Le pb cé qu'avec des outils comme PHPNuke & co, qui sont de plus en plus répandus et ne nécessitent pas d'avoir une bonne compréhension de PHP (et de sa pratique "propre" ), on se retrouve avec bcp plus de serveurs vulnérables, qu'ils sont répandus, et que ce sont devenus de vraies "usines à gaz" en terme de lignes de codes (cé pas la faute de leurs auteurs, cé statistique, plus t'as de lignes de codes dans un logiciel, plus t'as de chances d'avoir des bugs ... cé un des principes du Génie Logiciel ... ) ... je serais curieux de connaitre le nombre de forums en PHP/ASP qui se sont faits "pénétrer" ( ) sur le nombre total de sites pénétrés ...
Marsh Posté le 20-04-2003 à 02:52:02
cedcox a écrit : |
interesting, mais spa un pc perso, c'est un pc a la fac, sur une grosse ligne en plus, donc en direct sur le net et pas filtré
vu que je pouvais plus me logger dessus, j'ai tout formatté de tte facon c plus sur je sais pas skils ont fait ces cons, jvais matter un peu mon serveur win2k a coté paske j'avais des montages samba dessus, juste pour voir (j'y avais pas pensé)
la je suis chez moi, bloqué comme un con pask avec le noyau secure + iptable (+prélude) j'arrive a acceder a queud (meme ssh m'envoie chier, j'ai du oublier un truc), c con j avais pris l'habitude de tout faire par webmin, trop pratique ce truc et j'avais TOUT mis a jour récement
enfin bon g recup mes sites et mon forum, donc pas de grosse perte en fait
mais c flippant de devoir se plonger comme ca dans la securisation, quel interet de hacker mon putain de serveur vous pouvez m'expliquer hein ?
Marsh Posté le 20-04-2003 à 02:55:53
bitman a écrit : |
Ah !! la jeunesse d'ajourd'hui....
Marsh Posté le 20-04-2003 à 02:55:53
tiens tiens :
Citation : [18/04/2003] cit.timone.univ-mrs.fr |
sur http://www.delta5.com.br/mirror/in [...] 4&ano=2003
vous les connaissez ces gugus ?
Marsh Posté le 20-04-2003 à 03:04:18
bitman a écrit : tiens tiens :
|
Cé trop bonheur como dirait Chico ...
Marsh Posté le 20-04-2003 à 03:07:36
bitman a écrit : interesting, mais spa un pc perso, c'est un pc a la fac, |
Ah ah ah !!!!!! les administrateurs des facs, Ils me feront toujours rire.. spécial dédicace à celui de Rouen dans les années 96-97-98
Marsh Posté le 20-04-2003 à 03:28:41
CAI PAS DRAULE !!!
nb : je suis étudiant (et pas en info) pas admin de la fac hein !
si des cons pénètrent mon serveur pour aller foutre le dawa en interne sur les pc de la fac chuis dans le caca version XXL
putain jme fais chier j'aurais bien tripatouillé un peu la config cette nuit, mais j'ai plus aucun accès, g trop sécurisé le merdier
faudrais peut etre que je hacke mon serveur ?
Marsh Posté le 20-04-2003 à 03:33:03
bitman a écrit : sur http://www.delta5.com.br/mirror/in [...] 4&ano=2003 |
excellent
c'est marrant :
- il y en a bcp spécialisés dans les attaques php-nuke... c'est pas fiables comme système ??
- d'autres aiment bien certains fournisseurs.
...
Marsh Posté le 20-04-2003 à 03:41:08
bitman a écrit : CAI PAS DRAULE !!! |
Tu devrais peut être faire appel à la Delta 5 Team ...
Marsh Posté le 19-04-2003 à 10:57:49
qqun peut m'expliquer ca ?
je flippe un max, paskils ont rien cassé apparement, mais heu pas envie de laisser des trous