Ubuntu-fr

Lvdl

Re : Attaque par .htaccess

Pareil...

Dedibox aout 2006 jamais réinstallée, mot de passe non changé et accès root autorisé...

Excès de confiance en moi et mes capacités à prévoir ou fuite d'information chez dedibox qui disposait du mot de passe root ? Je ne saurais répondre.

Pour le reste de l'environnement installation de base fournie par dedibox et apt-get upgrade toutes les semaines.

Quand on joue avec le feu, on finit par se brûler. Toutefois j'envisage une migration vers chez OVH pour diverses raisons, dont une perte de confiance en dedibox et un besoin de machines un peu plus costaud.

Personnellement, Dedibox garde ma confiance. OVH n'a jamais répondu a mes abuses, je ne peux donc pas leur faire confiance.

Il est vrai qu'a partir du moment ou j'ai vu que ma machine était scannée 30 fois par jour au niveau SSH, j'ai pris des mesures :
- authentification par certificat
- deport du ssh sur un autre port non classique
- activation d'un systeme de ban fait maison en cas de brute force sur le ssh
- autorisation que de quelques utilisateurs

Mon serveur web a aussi des modifs tel que:
- activation de mod_security
- activation de suphp
- desactivation de tout les modules inutiles

et quelques petites choses en plus...

Corpo

Re : Attaque par .htaccess

Lvdl,
Connais-tu une faille en php ou dans une appli qui te donne le mot de passe root ?
Car c'est de ça qu'il s'agit ...
Il est très clair que l'attaquant avais nos mots de passe root. J'ai épluché tous mes logs, même les jours précédents, et il n'y a rien eu d'autre que des scans classiques infructueux. Quasiment tout était a jour de ses dernières versions sur le serveur, et ce qui n'était pas utilisé n'était pas activé.

Je n'ai pas beaucoup de daemons qui listen sur l'ip publique, le tour est vite fait, ils n'ont même pas été attaqués ...

Le cas de l'utilisateur qui avait root désactivé, et dont l'attaquant connaissait: le compte et le mot de passe de l'utilisateur + le mot de passe root, là c'est carrement de la science fiction ...

Dernière modification par Corpo (Le 02/09/2007, à 19:15)

olivierb2

Re : Attaque par .htaccess

Surtout que c'est pas pour me vanter, mais je connais un minimum en sécurité. Franchement, je veux bien que quelqu'un qui pirate mon serveur, mais pleins de serveur en une seule journée, vraiment y a rien a faire, je ne crois pas a une simple faille php ou autre.

Je sais ce que c'est d'être hacké, j'avais en effet mis il y a quelques années un serveur de test sur une IP fixe... qui est devenu un serveur sur lequel des gens ont travaillés. Pas de pare feu sur le serveur, ce dernier a fait un an, et un jours, rempli de rootkit, et le serveur était mort. La, en effet, je me suis fait piraté et j'y suis pour quelque chose.

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

scholi

Re : Attaque par .htaccess

désolé de couper la conversation en cours, mais il me semble judicieux de préciser (rapport aux premiers messages) à tout ceux qui accèdent à leur serveur qu'il ne faut JAMAIS utiliser le FTP. EN effet le FTP est tout ce qu'il y a de moins sécurisé pour le transport d'information. Donc lorsqu'il te demande ton login et mot de passe, ces derniers sont envoyé en clair au serveur et n'importe quel petit malin peut l'intercepteur, et donc se loguer et ajouter des fichiers.
Utiliser SSH, lui n'envoie aucune donnée en clair et donc impossible d'intercepter le mot de passe. Il reste seulement la brute force méthode, c'est pourquoi il faut aussi éviter les mot de passe pourri. Un bon mot de passe ne doit pas être un mot de la langue française/anglaise/allemande. Il doit contenir au moins une majuscule (et pas au début), au moins un chiffre et le must est encore d'y incorporer un symbole. Pour ne pas les oubliers pensez 1337 (leet). Ex.:  salut => $4LuT (mais là encore c'est un mauvais exemple, car salut est un mot trop simple.)
http://guide-pcnet.com/menus/divers/test_password.htm

ABE

Dernière modification par scholi (Le 02/09/2007, à 20:29)

---

S'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

gBat

Re : Attaque par .htaccess

Mon mdp root est assez chiadé, 15chars, avec char spéciaux, chiffre et lettre, le tout n'ayant aucune reelle signification.

Ensuite le ftp, on en a vraiment besoin, je pense pas faire une croix dessus.

olivierb2

Re : Attaque par .htaccess

Désolé, je n'ai pas de FTP sur mon serveur. J'utilise justement SCP (avec gnome). Sinon Filezilla supporte aussi très bien. Je ne vois donc pas en quoi le FTP est vraiment nécessaire.

Mon mot de passe n'est pas dans le dictionnaire et contient des chiffres. Donc il me semble que rien que pour trouver ce genre de mot de passe, il faut quelques heures... D'ailleur, d'après le test de scholi, mon mot de passe est fort.

Dernière modification par olivierb2 (Le 02/09/2007, à 20:43)

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

Lvdl

Re : Attaque par .htaccess

Pour corpo:

Oui, une faille webmin qui te permet de changer le mot de passe de root...
Et avec une faille php, pas besoin d'avoir le mot de passe root pour etre root.

Enfin bon, je vous laisse regarder vos logs après attaque et vous braquez sur les effets et non la cause.

NooP

Re : Attaque par .htaccess

Heu ...

Pour la faille Webmin -> Apparement, le mot de passe root n'a pas été changé, ca doit donc pas être une faille dans ce genre là.
Faille PHP ? Depuis quand on se retrouve root ? Je pense plutot qu'on se retrouve www-data dans ce cas. Il faut encore trouver une autre faille dans apache pour passer en root ..

Tout ça pour se voiler la face et ne pas admettre qu'il y a eu une fuite chez dedibox ! Et qu'en bon fournisseur, il n'avoueront jamais. La vraie solution serait que celui qui à cracké les dédibox le dise sur un site ... Là ils seraient obligés d'avouer !

---

Votez Macron, vous l'aurez dans le fion !

Corpo

Re : Attaque par .htaccess

Pour corpo:

Oui, une faille webmin qui te permet de changer le mot de passe de root...
Et avec une faille php, pas besoin d'avoir le mot de passe root pour etre root.

Enfin bon, je vous laisse regarder vos logs après attaque et vous braquez sur les effets et non la cause.

Je pense que tu n'as pas vraiment saisi le soucis:
Un attaquant est rentré via SSH en root, en AYANT le mot de passe root.
Il existe tout un tas de failles qui permettent de se retrouver a pouvoir executer du code sur la machine, d'autre qui permettent des élévations de privilèges, et en combinant tout ça, on peut avoir un accès plus ou moins complet a la machine.

Sauf que là, l'attaquant n'a ouvert un shell root sur un port quelconque, il AVAIT les mots de passe. Il n'y a pas eu de brute force non plus.

S'il existe une faille suffisament abyssale pour qu'elle révèle le mdp root, alors il y a de très grands soucis a se faire. En admetant qu'un mec ait trouvé ça, que ça soit celui qui nous a attaqués, je ne pense pas qu'il aurait utilisé nos machines pour faire ce qu'il a fait, on a bien mieux a faire quand on a un accès complet a des dizaines de serveurs, tu ne crois pas ?

jobarjo

Re : Attaque par .htaccess

on a bien mieux a faire quand on a un accès complet a des dizaines de serveurs, tu ne crois pas ?

Des dizaines???!!?? Des millions plutot.

C'est clair, vu le nombre de compagnies qui hebergent des services cruciaux, voir des donnees absolument critiques sur redhat entreprise (que j'utilise), il y aurait un cataclysme economique si une faille root existait.

Jamais dedibox n'avouera l'evidence.

Corpo

Re : Attaque par .htaccess

Par contre j'ai cherché une méthode sur google pour trouver les sites infectés, mais je n'ai rien trouvé de concluant. Quelqu'un a une piste ? J'vais pas me taper les ips des dédibox une par une (quoique je pourrais faire un script qui donne google comme referer ... a voir)

Lvdl

Re : Attaque par .htaccess

Pour corpo:

Oui, une faille webmin qui te permet de changer le mot de passe de root...
Et avec une faille php, pas besoin d'avoir le mot de passe root pour etre root.

Enfin bon, je vous laisse regarder vos logs après attaque et vous braquez sur les effets et non la cause.

Je pense que tu n'as pas vraiment saisi le soucis:
Un attaquant est rentré via SSH en root, en AYANT le mot de passe root.
Il existe tout un tas de failles qui permettent de se retrouver a pouvoir executer du code sur la machine, d'autre qui permettent des élévations de privilèges, et en combinant tout ça, on peut avoir un accès plus ou moins complet a la machine.

Sauf que là, l'attaquant n'a ouvert un shell root sur un port quelconque, il AVAIT les mots de passe. Il n'y a pas eu de brute force non plus.

S'il existe une faille suffisament abyssale pour qu'elle révèle le mdp root, alors il y a de très grands soucis a se faire. En admetant qu'un mec ait trouvé ça, que ça soit celui qui nous a attaqués, je ne pense pas qu'il aurait utilisé nos machines pour faire ce qu'il a fait, on a bien mieux a faire quand on a un accès complet a des dizaines de serveurs, tu ne crois pas ?

Justement, tes logs ont peut être été modifiées. Le mot de passe a peut etre été changer puis remis (il suffit de faire un copier/coller du hash pour que ca marche).

Ce que je veux dire, c'est que la méthode exploit php + exploit local (une fois un shell récupérer via php) est bien plus probable qu'une attaque root directe.

Tu ne peux pas te fier a tes logs. Tu ferais mieux de les oubliées. En cherchant sur le net, quelqu'un avait le meme type de log, mais c'était une faille webmin qui avait été utilisé pour s'introduire sur sa machine.

Corpo

Re : Attaque par .htaccess

Justement, tes logs ont peut être été modifiées. Le mot de passe a peut etre été changer puis remis (il suffit de faire un copier/coller du hash pour que ca marche).

Ce que je veux dire, c'est que la méthode exploit php + exploit local (une fois un shell récupérer via php) est bien plus probable qu'une attaque root directe.

Tu ne peux pas te fier a tes logs. Tu ferais mieux de les oubliées. En cherchant sur le net, quelqu'un avait le meme type de log, mais c'était une faille webmin qui avait été utilisé pour s'introduire sur sa machine.

Oui mais le timestamp des fichiers de mdp n'a pas bougé ...
Enfin vu les differences de setup entre les serveurs infectés, on n'a pas encore trouvé de point commun. C'était même pas toutes les mêmes distros ...

Dans l'absolu, tout est possible, mais bon ... quitte a nettoyer les logs, je vois pas pourquoi auth.log aurait été laissé tel quel ?

olivierb2

Re : Attaque par .htaccess

En tout cas, perso, j'ai pas de webmin sur la machine, donc ça provient pas de ça.

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

Corpo

Re : Attaque par .htaccess

En tout cas, perso, j'ai pas de webmin sur la machine, donc ça provient pas de ça.

idem

Lvdl

Re : Attaque par .htaccess

Et au niveau appli web/admin/stats sur vos machines, qu'aviez vous ? (version au moment du hack bien sur).

Corpo

Re : Attaque par .htaccess

Pour ma part, j'avais du joomla (les joomla qui ne faisaient pas tourner la dernière version étaient fermé au public via .htaccess), un forum invision 1.3.1 avec les tous derniers patches (donc pas ceux d'invision qui ne le supporte plus depuis un moment), un spip récent fermé lui aussi ...
Idem pour le peu d'outils d'admin en web (un postfixadmin, un phpmyadmin) fermés par .htaccess.
Et un awstats dernière version protégé lui aussi par .htaccess

Php et Apache 2 en dernières versions, php suhosin installé pour limiter grandement les failles "génériques" exploitables en php ...

Edit: un roundcube dernière version, et puis en daemons, postfix, courier-pop3 et imap, proftpd, waste et un serveur trackmania.

Dernière modification par Corpo (Le 06/09/2007, à 11:29)

olivierb2

Re : Attaque par .htaccess

Personnellement, j'héberge quelques sites internet "fait maison", j'ai un phpmyadmin, roundcube, phpbb2, squirrelmail.
Sinon ce serveur fait mail/web.

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

yvan78

Re : Attaque par .htaccess

Je pense que tu n'as pas vraiment saisi le soucis:
Un attaquant est rentré via SSH en root, en AYANT le mot de passe root.
(...)
S'il existe une faille suffisament abyssale pour qu'elle révèle le mdp root, alors il y a de très grands soucis a se faire. En admetant qu'un mec ait trouvé ça, que ça soit celui qui nous a attaqués, je ne pense pas qu'il aurait utilisé nos machines pour faire ce qu'il a fait, on a bien mieux a faire quand on a un accès complet a des dizaines de serveurs, tu ne crois pas ?

En tout cas, s'il y a faille elle ne doit pas conçerner SSH: Avec toutes ces machines dans le monde qui n'ont que ça d'ouvert sur l'extérieur, ça se saurait!

Et pour connaitre le mdp root, il y a des personnes qui ne se connectent jamais en utilisant des protocoles non sécurités (type telnet/ftp... qui laissent passer les mpd en clair), on oublie a priori ce cas. De plus, vu que désormais récuperer le fichier /etc/passwd par une faille quelconque ne permet même plus de lançer un john the ripper dessus de chez soi... et le /etc/shadow est en accès root seul. Bref, ca pue le rootkit inconnu piqueur de mdp, installé via une autre faille plutot liée a vos applis web ou aux portes ouvertes non sécurisée (ftp).

Voir cette page, assez intéressante:
http://www.debian.org/doc/manuals/securing-debian-howto/ch4.fr.html

A+

Corpo

Re : Attaque par .htaccess

Ce qui est très surprenant, c'est que les seules machines attaquées recensées sont hébergées chez Dedibox. De plus, comme je l'ai dit, j'ai deux dédibox, quasi identiques, et une des deux n'a pas été attaquée. La seule difference est que la nouvelle a été installée en 2007, de la même façon que la première.

jobarjo

Re : Attaque par .htaccess

Pour ma part, j'avais du joomla (les joomla qui ne faisaient pas tourner la dernière version étaient fermé au public via .htaccess), un forum invision 1.3.1 avec les tous derniers patches (donc pas ceux d'invision qui ne le supporte plus depuis un moment), un spip récent fermé lui aussi ...
Idem pour le peu d'outils d'admin en web (un postfixadmin, un phpmyadmin) fermés par .htaccess.
Et un awstats dernière version protégé lui aussi par .htaccess

Php et Apache 2 en dernières versions, php suhosin installé pour limiter grandement les failles "génériques" exploitables en php ...

Edit: un roundcube dernière version, et puis en daemons, postfix, courier-pop3 et imap, proftpd, waste et un serveur trackmania.

J'ai rien de tout ca sauf phpmyadmin
2 forums phpbb et smf
squirrelmail
cyrus imapd
postfix
stunnel pour mysql
shorewall.
le tout sous centos.

Pas grand chose en commun pour qu'un bot entre en 0s avec le MDP.

redox

Re : Attaque par .htaccess

Et au niveau appli web/admin/stats sur vos machines, qu'aviez vous ? (version au moment du hack bien sur).

Sur le mien, une des 70 premières dédi, il n'y a qu'un phpmyadmin, protégé par htaccess et sur un vhost connu de moi seul.
*Aucune* autre appli php connue (ou moins connue), uniquement du développé maison.
Pas de service autre qu'apache/mysql/snmp (meme pas de bind ni de smtp)

Par ailleurs entre ça et l'attaque DDoS par synflood qu'il y a en ce moment sur de nombreuses dedibox et pour laquelle la solution est "on déconnecte le client, il devra probablement résilier", j'ai décider d'abandonner dedibox, je vais me tourner vers un vrai serveur chez OVH qui ne m'a jamais déçu.

gouroufr2000

Re : Attaque par .htaccess

Personne n'a jamais trouvé comment cette attaque avait (réellement) réussi ?

Paul Adams

Re : Attaque par .htaccess

En lisant tout le thread je me suis souvenu d'une faille de sécurité qui avait un peu fait trembler il y quelques mois, un truc concernant la génération de clés pour openssh (de mémoire) qui pouvait les rendre prévisible. Et dans le thread on les voit bien soupçonner openssh.

Ou pas.

obcd

Re : Attaque par .htaccess

Personne n'a jamais trouvé comment cette attaque avait (réellement) réussi ?

aux dernières nouvelles officieuses un ex-employé serait parti avec un backup des login/pass root des machines avant une date précise (après cette date il n'y avait plus de stockage des login/pass root) et l'aurait revendue à un russe qui a codé un bot pour infecter les machines. mais bien sûr vous n'aurez jamais quelque confirmation que ce soit de la chose, même s'il y a maintenant prescription.

mais bon ... j'ai une longue histoire avec dedibox, entre cela et un ddos où mon serveur a été desactivé (cible du ddos : tout un range, donc plus de 250 ips) parce que "si t'as été ddos c'est que tu l'as mérité, on te résilie pour la peine"; longue histoire maintenant terminée puisque je suis parti chez ovh depuis perpet', où a part quelques petites instabilités du réseau je n'ai jamais eu aucun problème.

ah ... au fait ... le russe en question : http:/justas.livejournal.com/

Dernière modification par obcd (Le 09/02/2010, à 01:01)