Bonjour, et joyeux Noël !!!  
 
En guise de cadeau de Noël lorsque je me connecte sur mon site voici le message qui s'affiche :  
 
execve () in y0ur Red Hat Linux release 7.2 (Enigma).  
 
uid=0(root) gid=0(root) groupes=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)  
 
Linux www.monhebergeur.net 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown  
 
QQ1 peut-il me dire ce que cela signifie ?  
Apparement j'ai été hacké car tous mes fichiers html et php ont été écrasés et remplacés par ce message, je ne parviens plus à me connecter non plus à phpadmin... Par contre j'ai accès au ftp !  
 
Merci à tous.  

execve () in y0ur Red Hat Linux release 7.2 (Enigma).  
 
 
=> Tout est dit. Pas sympa comme cadeau de Noël

Oui mais encore tu peux m'en dire + sur le problème ?

La Red Hat dont ton hébergeur s'est servi pour héberger tes pages possedait une faille.
 
On tombe sur un local root exploit en googlétisant. Si c'est pas indiscret, c'est qui comme hébergeur ?

ben je sais pas trop je suis en train de faire refaire mon site par une société qui "travaille" avec un data center de Paris. J'essaie d'en savoir plus mais ils sont pas trop bavard à ce sujet...
J'ai l'impression que tu penses que ce n'est pas très sérieux ?!

Bah une Red Hat 7.2 pas patchée avec un kernel 2.4.7 qui date de 2001 ça laisse à désirer quand même...

Ouais je m'en doutais d'après ce que j'ai pu lire. Ce genre de mise à jour c'est payant? Linux est gratuit non ?

Pour Red hat ouais c'est payant, mais si tu payes ton hébergeur c'est pour justement faire ceci, cad entre autre maintenir une distro à jour avec le moins de failles possible

Bon là c'est carrément mauvais, il doit avoir des toiles d'araignées dans ses locaux...
Par contre où vois-tu qu'il n'est pas patché dans le descriptif ?
merci pour tes conseils

En fait je vois rien du tout, je suis pas root sur la machine, je constate juste que tu payes pour un hébergeur qui ne fait pas son boulot :
- Red Hat 7.2 est dépassé depuis un bon moment
- Le kernel 2.4.7 aussi
- Ya des grosses failles sur la bécanne (d'où le fait que tu te sois fais piraté ce qui était prévisible).
 
Après il peut s'agir effectivement d'une machine oubliée mais j'en doute beaucoup...

Combien y-t-il eu de versions depuis 7.2 (environ) ?
Ensuite combien ça vaut une licence de ce soft ?
Enfin est-ce que tu penses que c'est le serveur lui même qui est visé ou plutôt la faille du système qui est exploitée ?
Merci

Autre question ; ce type d'incident peut-il provenir d'un fichier présent sur le ftp qui serait mal écrit (je pense à du perl par exemple) ???
Est-ce que ce type de fichier est capable de mettre un serveur HS ?

 
Après la 7.2 il y a eu la 7.3, la 8.0 et enfin la 9. Red Hat a ensuite changé de schéma. Si mes souvenirs sont bons, il y a la version Red Hat Entreprise et il y a Fedora, une version de red hat fait par la communauté (on est déjà à la rc 3).
 
Combien vaut la licence ? Alors ça j'en sais rien, je sais juste que Fedora est libre et que Red Hat Entreprise doit être payant (à cause du support). Mais je ne m'avance pas car j'en sais vraiment pas grand chose.
 
Sur ton serveur, il y a un système, en l'occurrence Red Hat. Ce qui était visé ?  Rien de spécial, le mec est tombé sur un système pas à jour, il a trouvé un exploit et il t'as piraté. Rien de plus.
 
Ça aurait pu venir d'une faille php mais à en croire le mec, c'est bien une faille kernel due à execve(). On trouve des bulletins d'alertes qui ont l'air de correspondre.
 
http://www.securityfocus.com/bid/8042
http://secunia.com/advisories/9154/
 
Maintenant, je dis ça, je dis rien, on peut pas se fier au mec qui t'as piraté faudrait avoir un accès direct pour voir exactement ce qui s'est passé.

D'après ce que j'ai pu lire "Le noyau (kernel) de Linux présente une faille qui permet à un utilisateur local d'obtenir tous les privilèges. Une exploitation à distance de cette faille n'est pas possible"
Je ne comprends pas ! Cela veut-il dire que le hacker doit être sur le réseau des machines ?

Vu depuis combien de temps la redhat 7.2 n'esyt plus mise à jour, il a du utiliser un autre exploit (execution remote) pour arriver à executer celui-ci

et dire que là où je bossais, ils utilisent toujours une redhat 7.1 avec le kernel d'origine pour une 20aine de sites web ...
 
s'ils se font hacker, ça va faire mal ...

Ça veut dire qu'il a attaqué localement et donc qu'il a d'abord eu un shell sur le système.
 
Mais avoir un shell sur un sytème c'est pas difficile vu la machine que c'est...

 
C'est quoi le nom de la boîte ?

Vanilla, aurais tu un hebergeur digne de ce nom pour mon site. Avant j'étais chez OVH mais ils ont menacé de fermer le site à cause d'un trop grand nombre de connexions. On m'a conseillé de passer sur du dédié mais je n'y connais rien à l'admin d'un serveur... Faut-il en passer par là ? MOn site fait +ou- 200 mo + des videos sur ftp2.
J'ai un traffic de 2000 à 4000 visiteurs par jour.

Autre chose quelle raison valable un hebergeur peut ne pas évoluer vers un version plus récente d'un soft (oui je sais c'est débile comme question ) pas d'argent, pas la compétence, pas techniquement possible... Est ce que les versions actuelles de red hat ont une réelle différence avec le 7.2 (c'est du style windows 95 vs windows XP)?

 
Parcequ'ils ont du développement en interne (système de centralisation par exemple) qui n'est compatible qu'avec cette version là de redhat
 

Mmmm... là je n'y crois pas trop : mon site est planté et apparement il n'y a personne pour "réparer"... Tu as un gars au téléphone qui te dit "ben ouais c'est planté mais nous on peut rien faire, il faut venir réinstaller l'application vous même !"
 C'est pas un peu bidon ça ?  
Il parait que dans les data center c'est comme ça...

 
J'en sais rien, je ne suis encore qu'un pauvre étudiant donc je ne bosse ni dans l'admin réseau ni dans une boite d'hébergement, je peux pas te dire comment ça marche exactement ! Flemme, admin incompétent, pb financier ou technique, ouais tout ça c'est possible, ça doit être ce genre de raison, en tout cas c'est sûrement pas volontaire...
 
Sinonquand même ouais, faut voir l'évolution du kernel et des logiciels libres en 2-3 ans. Ça bouge beaucoup... Bcp de (graves) failles ont été découvertes et corrigées depuis.
 
Je n'ai pas d'hébergeur à te conseiller mais renseigne toi avant sur quel système ton serveur tourne. En général si tu prends des trucs assez connus, ya pas trop de problèmes (enfin je crois ).

 
Putain mais c'est quoi ton hébergeur ? C'est du foutage de gueule là. Je sais pas combien tu payes ton hébergement et ta formule d'hébergement (serveur dédié, bande passante, support) mais c'est pas vraiment logique !
 
C'est d'autant plus bidon que généralement seuls les admins ont accès au data center    
 
J'imagine bien la file de client devant le data center pour aller réinstaller son système qu'a planté  

Bah pour l'instant je paye rien... C'est un deal pendant qu'ils me font le site. Mais t'as raison, s'ils me proposent un hébergement pourri je me fous d'avoir un beau site s'il ne marche pas !!!

Ah ouais mais si c'est un espèce de deal entre toi et un mec de l'hébergement, qu'il n'y a pas vraiment de contrat et tout ça... On peut rien pour toi !
 
Ce que je veux dire c'est que si tu payes pas, le mec il s'en tape, il va pas te mettre ton site sur un serveur didié sécurisé aussi... Faut savoir ce qu'on veut !

Ok mais s'il est un peu malin il va se bouger pour que tout rentre dans l'ordre et que je lui fasse un gros chèque pour le site. Mais c'est vrai que pour le moment il est mal parti...

Ouais puis c'est surtout pas très malin de laisser une machine rootée sur son réseau
 
Enfin perso j'aurais du mal à dormir

 
Ouais ça la fout mal qd même...