Attaque par .htaccess

gBat · Le 24/08/2007, à 14:32

Bonjour à tous,

Je dispose d'un server sous débian sarge, je sais qu'on est sur le forum ubuntu-fr, mais je suis plus venu chercher de l'aide en général que quelque chose de spécifique, et puis je parcours souvent ce forum, c'est pourquoi je me décide à poster ici.

Je vous expose mon cas. Avec deux copains, nous louons un petit server dédié qui nous sert à héberger nos blogs respectifs ( Dotclear2), ainsi que de nombreux petits sites, et enfin un server de jeu CS 1.6. Celà fait bientôt un an que nous l'avons, et jusqu'à présent tout allait bien, aucun souci. Mais depuis hier, je m'apperçois que tout plante, aucun des sites n'est accessible, mais le ftp, ssh marchent.
Je vais donc scruter les logs d'apache2 et là je vois une liste monstrueuse d'erreurs dues à des fichiers .htaccess qui ne devraient même pas exister. En supprimant ces fichiers tout redevient à la normal. Cependant d'ici hier 23h et aujourd'hui, tout a recommencé. Et cette fois-ci à la fin du log je vois que apache2 a reçu un SIGTERM, et donc il ne tourne plus.

Sachant que nous somme trois à faire notre tambouille sur ce serveur, il est plus que possible qu'il y ait de nombreuses failles, moi-même je ne suis pas un spécialiste de la sécurité.

Comment puis-je remonter à cette faille? Comment me protéger de ces "attaques"?

Merci beaucoup.

Dernière modification par gBat (Le 30/08/2007, à 14:22)

HymnToLife · Le 24/08/2007, à 14:48

Tu dis que vous utilisez FTP. Est-ce que les fichiers sont apparus dans des répertoires auxquels vous pouvez accéder part FTP ? Ou alors, encore pire, est-ce qu'un des comptes utilisés en FTP a les droits d'administration (sudo) ?

gBat · Le 24/08/2007, à 14:54

Ils sont apparus à plusieurs endroits :

/home/user1/.
/home/user1/home/.
/home/user1/blog/.
/home/user1/sitex/.

idem pour deux autres users, et un dans /var/www/. ce qui m'inquiète plus.

Sous débian sudo n'existe pas, et root n'a pas d'accès ftp. Chaque compte ftp accède juste à son public_html.

HymnToLife · Le 24/08/2007, à 15:02

gBat a écrit :

Sous débian sudo n'existe pas

Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...

Tu fais comment, pour devenir root alors, si tu n'utilises pas sudo ? su ou carrément ssh root@ ?

gBat · Le 24/08/2007, à 15:09

ahem, ma réponse n'était pas du tout agressive. Désolé, je pensais que sudo était propre à ubuntu, car sur notre débian il n'est pas installé. Je ne doute pas de tes compétences, mais plutôt des miennes sinon, je ne serais pas ici entrain de te demander un peu d'aide.

Pour te répondre, je connecte avec un compte banal et je fais su. Parcontre il me semble que root a accés au ssh, mais je ne m'en sers pas.

Encore désolé, et merci.

HymnToLife · Le 24/08/2007, à 15:16

gBat a écrit :

ahem, ma réponse n'était pas du tout agressive. Désolé, je pensais que sudo était propre à ubuntu, car sur notre débian il n'est pas installé.

sudo existe depuis les années 80

En tout cas, si root a accès au ssh, dépêche-toi de le désactiver et scrute tes logs pour voir si tu n'as pas une connexion root.

web09 · Le 24/08/2007, à 16:37

Bonjour,
je m'incruste dans votre conversation car je rencontre le meme type de probleme sous ubuntu 6.06;
Les fichiers htaccess sont placés au meme endroits et reorientent a partir des moteurs de recherche vers un site porno.
J'utilise aussi un dotclear ... a voir? si ca vient pas de la?

les fichiers htaccess:

RewriteEngine on
Options +FollowSymLinks

RewriteCond %{HTTP_REFERER} ^.*(google|live|yahoo|ask|msn|aol|altavista).*$ [NC]
RewriteRule .*$ http://rostoffhost.info/strf/ [L]

Pour ma part je les ai supprimé mais jusqu'a quand?

HymnToLife · Le 24/08/2007, à 16:41

Bon, sous Ubuntu, tu n'as au moins pas le problème du ssh root@ activé... Tu te connectes par FTP parfois ? Si oui, est-ce que c'est avec le compte qui peut utiliser sudo ?

NooP · Le 24/08/2007, à 16:47

Dites ? Votre dotclear est il à jour ?
Peut être quelqu'un à profité d'une faille pour abuser de vos machines !
Si c'est le cas ... Ben, vous avez plus qu'a formatter et à reinstaller avec des versions à jour !

Extrait de la page d'accueil DotClear ...

jeudi 12 juillet 2007
Dotclear 2 beta 7

Il y a des fois où on ne peut plus reculer : Voici une nouvelle béta de Dotclear 2.0. Bien sûr, nous en avons profité pour corriger la faille découverte. Pour le même prix vous y trouverez quelques améliorations visuelles et fonctionnelles dans l'interface d'administration, une procédure d'installation qui gèrera mieux certains hébergements et vous garantira plus d'intimité, une meilleure gestion de l'interface XML-RPC, un meilleur support du SSL côté administration, une gestion séparée des options pour les commentaires et les rétroliens, la résolution de petits bugs qui traînaient et le tant attendu moteur de recherche interne.

Il semblerait que DotClear 1.2 soit touché aussi !

Dernière modification par NooP (Le 24/08/2007, à 17:03)

web09 · Le 24/08/2007, à 16:53

j'ai une version VHCS sur ubuntu , oui je ne me connecte avec un FTP, mais non pas avec des droits sudo .

je suis en train de verifier le dotclear, que je vais desactiver je pense

NooP · Le 24/08/2007, à 16:58

Désasctiver DotClear n'est pas suffisant !
Il faut savoir exactement ce que permet la faille et agir en conséquences.
Peut être elle permet l'installation d'un root kit ou autres bêtes horribles.
En cas de doute, il vaut mieux réinstaller complètement la machine plutot que de continuer avec une machine compromise.

Dernière modification par NooP (Le 24/08/2007, à 16:59)

web09 · Le 24/08/2007, à 17:31

Installer rkhunter et chkrootkit....

faille dotclear ici : http://www.dotclear.net/log/post/2006/06/05/Important-:-faille-de-securite-potentielle-dans-DotClear-12x

bizarre le .htaccess dans /var/www/ inquietant meme

xelator · Le 24/08/2007, à 17:39

HymnToLife a écrit :

gBat a écrit :
Sous débian sudo n'existe pas
Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...

xelator@debian:~$ sudo apt-get install dd
Password:
Sorry, user xelator is not allowed to execute '/usr/bin/apt-get install dd' as root on debian.
xelator@debian:~$

pourquoi je ne peux pas ? merci

NooP · Le 24/08/2007, à 17:42

Moui, le meilleur Anti-RootKit que je connaisse est :

mke2fs

HymnToLife · Le 24/08/2007, à 21:01

xelator a écrit :

HymnToLife a écrit :
gBat a écrit :
Sous débian sudo n'existe pas
Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...
xelator@debian:~$ sudo apt-get install dd
Password:
Sorry, user xelator is not allowed to execute '/usr/bin/apt-get install dd' as root on debian.
xelator@debian:~$

Il faut éditer le fichier /etc/sudoers pour te donner les droits.

xelator · Le 24/08/2007, à 21:04

merci

madrippeur · Le 24/08/2007, à 21:37

Si je peux me permettre de m'inscruster dans la conversation
Vhcs2 est une faille à lui tout seul enfin je veux dire qu'il a tout de même pas mal de failles. Avez vous pensé à le sécuriser un minimum comme tout simplement de lui activer le ssh et autres bricole qui le sécurisent un peu ?

(c'est juste pour éventuellement lancer une piste que vous auriez oublié) désolé de m'être incrusté

obcd · Le 25/08/2007, à 01:34

j'ai eu/ai encore le meme soucis.

j'ai moi aussi un dotclear 1.2.6 qui etait hebergé sur le serveur
et je le soupcone fortement d'etre la cause de cette intrusion.

par contre la compromission a l'air plutot ... forte
Aug 23 19:35:02 srv1 sshd[6307]: Accepted password for root from 205.234.141.155 port 60213 ssh2
apparement l'acces root au ssh a ete reactivé, mais il semblerait qu'a part tous les .htaccess modifiés rien d'autre n'ai ete changé.

a part syslogd qui a ete relancé apres bien sur un nettoyage en regle des historiques ...

en mesure de securité j'ai donc pour le moment restreint mon serveur http aux seuls sites que je sais ne pas etre susceptibles d'etre a l'origine de l'intrusion, changé le pass root, desactivé son acces ssh, changé les mots de passes des utilisateurs ftp/ssh/sql, lancé les différents checker de rootkits qui n'ont rien donné, et demain c'est backup/format/reinstall pour eviter tout probleme eventuel.

Zergy · Le 25/08/2007, à 16:41

Désactiver l'accés root à SSH en éditant /etc/ssh/sshd_config et en mettant :

PermitRootLogin No

De ce même fichier, ajoutez

AllowGroups ssh

Afin que seul les membres du groupe ssh puissent utiliser SSH

Puis ajoute ton compte et celui de tes amis au groupe SSH avec :

# visudo

Puis ajoute un ligne de type :

nomUtilisateur ALL=(ALL) ALL

Une par compte autorisé à administrer la machine

Ensuite, ajoute ton compte et celui de tes amis au groupe SSH afin qu'ils puissent se connecter via SSH

$ sudo adduser nomUtilisateur ssh

Ensuite, redémarre ssh

$ sudo /etc/init.d/ssh restart

Ne ferme pas la connexion SSH, et essaye d'ouvrir une nouvelle connexion.

Verrouille le compte root :

sudo passwd -l root

Enfin, ouvre le fichier /etc/passwd et vérifie qu'il n'y ait pas de compte autre que root avec l'UID 0, si d'autre comptes avec l'UID 0 existent, supprime-les avec :

$ sudo deluser nomUtilisateur

Et bien sûr, met à jour DotClear, Debian, et supprime les fichiers .htaccess.

pouchat · Le 25/08/2007, à 17:10

HymnToLife a écrit :

Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...

genre, et tu serais pas aussi plus vieux que mon grand-père ?

HymnToLife a écrit :

Tu fais comment, pour devenir root alors, si tu n'utilises pas sudo ? su ou carrément ssh root@ ?

pour devenir root, su simplement.
t'administre un serveur ? si oui, tu fais chaque commande en préfixant sudo ? keuf

faudrait arrêter un peu avec ubuntu et sa spécificité "sudo". Ok sudo est un palliatif pour les débutants qui ont besoin d'exécuter des commandes avec bcp de privilèges et éviter de casser le système. Sorti de là, le compte root est fait pour ça et est profondément encré dans le système. Pas besoin d'aller plus loin.

Zergy · Le 25/08/2007, à 17:19

pouchat a écrit :

faudrait arrêter un peu avec ubuntu et sa spécificité "sudo". Ok sudo est un palliatif pour les débutants qui ont besoin d'exécuter des commandes avec bcp de privilèges et éviter de casser le système. Sorti de là, le compte root est fait pour ça et est profondément encré dans le système. Pas besoin d'aller plus loin.

sudo est une sécurisation supplémentaire puisque qu'on peut avec sudo faire des actions en tant que root même avec le compte root désactivé.
Et si root est désactivé, l'attanquant ne peut savoir qui à les droits de root puisqu'il n'as pas accés à /etc/sudoers.

De plus, meme avec root de désactivé, il suffit qu'un sudoer fasse :

sudo su

pour avoir un prompt root (#)
Pwned

Et oui, j'adminitre mon serveur Debian Etch avec sudo + compte root désactivé.

Dernière modification par Zergy (Le 25/08/2007, à 17:21)

Corpo · Le 25/08/2007, à 20:50

J'ai eu la même chose depuis la même ip sur mon serveur
Je tourne en Ubuntu 7.04 (upgradé depuis une 5 ...)
J'ai plusieurs Joomla sur le serveur

Mais je n'ai rien trouvé de particulier dans les logs ou quoique ce soit
Juste les Accepted password sur le compte root depuis l'ip 205.234.141.155
7 connections d'affilée, 7 .htaccess posés

Super bot
Alors je ne sais pas par quelle faille ils sont passés, mais ils ont visible récupéré d'une façon ou d'une autre les chemins de tous les sites actifs sur le serveur car j'ai plusieurs sites désactivés sur le serveur, et eux n'ont pas été "infectés" (dans des dossiers où d'autres sites actifs l'ont été ...)

Bref, inquiétant!
J'ai coupé les droits de login a root, en attendant d'en savoir plus ...

Zergy · Le 25/08/2007, à 22:13

Site tu as l'IP de la machine qui faut celà, fait un whois dessus et envoi un courrielà l'adresse d'abus associée.
Celà permetera sans doute de désinfecter une machine zombie.

totche · Le 25/08/2007, à 23:15

Bonjour

Ou trouver les logs en questions dans /var/log/ mais dans quel fichier?
Merci pour votre aide

Zergy · Le 26/08/2007, à 12:06

Les logs d'Apache sont dans /var/log/apache2/

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/08/2007, à 14:32

Attaque par .htaccess

#2 Le 24/08/2007, à 14:48

Re : Attaque par .htaccess

#3 Le 24/08/2007, à 14:54

Re : Attaque par .htaccess

#4 Le 24/08/2007, à 15:02

Re : Attaque par .htaccess

#5 Le 24/08/2007, à 15:09

Re : Attaque par .htaccess

#6 Le 24/08/2007, à 15:16

Re : Attaque par .htaccess

#7 Le 24/08/2007, à 16:37

Re : Attaque par .htaccess

#8 Le 24/08/2007, à 16:41

Re : Attaque par .htaccess

#9 Le 24/08/2007, à 16:47

Re : Attaque par .htaccess

#10 Le 24/08/2007, à 16:53

Re : Attaque par .htaccess

#11 Le 24/08/2007, à 16:58

Re : Attaque par .htaccess

#12 Le 24/08/2007, à 17:31

Re : Attaque par .htaccess

#13 Le 24/08/2007, à 17:39

Re : Attaque par .htaccess

#14 Le 24/08/2007, à 17:42

Re : Attaque par .htaccess

#15 Le 24/08/2007, à 21:01

Re : Attaque par .htaccess

#16 Le 24/08/2007, à 21:04

Re : Attaque par .htaccess

#17 Le 24/08/2007, à 21:37

Re : Attaque par .htaccess

#18 Le 25/08/2007, à 01:34

Re : Attaque par .htaccess

#19 Le 25/08/2007, à 16:41

Re : Attaque par .htaccess

#20 Le 25/08/2007, à 17:10

Re : Attaque par .htaccess

#21 Le 25/08/2007, à 17:19

Re : Attaque par .htaccess

#22 Le 25/08/2007, à 20:50

Re : Attaque par .htaccess

#23 Le 25/08/2007, à 22:13

Re : Attaque par .htaccess

#24 Le 25/08/2007, à 23:15

Re : Attaque par .htaccess

#25 Le 26/08/2007, à 12:06

Re : Attaque par .htaccess

Pied de page des forums