Ubuntu-fr

Xilaw

Re : Attaque par .htaccess

Pour résoudre le problème des htaccess essayez d'en interdire l'utilisation avec la directive :

AllowOverride none

Pour ssh le mieux est de changer le port dans /etc/ssh/sshd_config :

Port 54321

Vous pouvez prendre à peu près n'importe quel port entre 1 et 65535 mais faites attention qu'il ne soit pas attribué à un service qui tourne ou à un service referencé dans le fichier /etc/services
Si vous êtes en IP fixe, n'autorisez que votre IP à se connecter à SSH.

Pour ceux qui accuseraient dedibox changez vos dépôts pour y mettre ceux de votre distribution (ftp.fr.debian.org par ex pour debian) au lieu de ceux de dedibox et reinstallez tous les packages qui seraient potentiellement susceptibles d'avoir une faille.

Pour ne plus subir l'attaque vu que apparement la personne utilise toujours la même IP :

iptables -I INPUT -s 205.234.140.0/23 -j DROP

D'après le whois cette IP semble appartenir à un hébergeur de serveur dédié américain Host for Web.

HostForWeb Inc. HOSTFORWEB-10 (NET-205-234-140-0-1)
                                  205.234.140.0 - 205.234.141.255

Est ce que les personnes victimes de cette attaque peuvent envoyer leur log et une plainte (en anglais) au support (sysadmin _AT_ hostforweb DOT com) de cet hébergeur pour qu'ils agissent ?

Pour les courageux qui veulent se refaire "piraté" il est possible de modifier la config de syslog pour que tout soit log dans un autre fichier ou sur un autre serveur afin de pouvoir garder une trace, je ne pense pas qu'il aille voir la config de syslog pour savoir quel fichier.

obcd

Re : Attaque par .htaccess

moi je trouve marrant que les newsgroups de dedibox (et toutes les pages d'assistance en fait) soient inaccessibles depuis hier ...

par contre Xilaw ta 'solution' d'interdire les .htaccess est un peu bete, parce que c'est par utilité qu'on en a, et pas pour faire joli.

moi je suis toujours convaincu que le probleme vient de chez dedibox t non pas des machines, le manque de point commun entre toutes se fait fortement resentir, a moins d'une faille monstre non encore publique dans opensshd ... mais là j'crois que c'est un peu trop exageré.

Corpo

Re : Attaque par .htaccess

J'ai une autre dédibox, de configuration très similaire a celle qui a été pénétrée (mais avec bien moins de choses dessus) et elle n'a pas été attaquée ou pénétrée ...

Et pour l'ip qui a fait les connections SSH, elle n'apparait nulle part ailleurs. L'attaqueur a fait ses repérages depuis une autre ip vraisemblablement

Madcorp

Re : Attaque par .htaccess

Bonjour,

alors je viens faire mon retour d'expérience sur cette attaque.

J'ai donc subi le même problème avec la création d'un .htaccess.
Ce .htaccess redirigeait vers rostoffhost.info

Ma distrib est aussi une debian.

Voici le log complet de l'attaque :

Aug 24 09:23:40 sd-**** sshd[29798]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:47:57 sd-**** sshd[21680]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:47:58 sd-**** sshd[21680]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53541 ssh2
Aug 24 09:47:58 sd-**** sshd[21683]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:47:59 sd-**** sshd[21683]: (pam_unix) session closed for user mad
Aug 24 09:47:59 sd-**** sshd[21685]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:48:00 sd-**** sshd[21685]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53542 ssh2
Aug 24 09:48:00 sd-**** sshd[21688]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:48:00 sd-**** sshd[21688]: (pam_unix) session closed for user mad
Aug 24 09:48:01 sd-**** sshd[21690]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:48:02 sd-**** sshd[21690]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53543 ssh2
Aug 24 09:48:02 sd-**** sshd[21693]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:48:02 sd-**** sshd[21693]: (pam_unix) session closed for user mad
Aug 24 09:48:03 sd-**** sshd[21695]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:48:04 sd-**** sshd[21695]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53544 ssh2
Aug 24 09:48:04 sd-**** sshd[21698]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:48:05 sd-**** sshd[21698]: (pam_unix) session closed for user mad
Aug 24 09:48:06 sd-**** sshd[21700]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:48:07 sd-**** sshd[21700]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53545 ssh2
Aug 24 09:48:07 sd-**** sshd[21703]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:48:07 sd-**** sshd[21703]: (pam_unix) session closed for user mad
Aug 24 09:48:08 sd-**** sshd[21706]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:48:09 sd-**** sshd[21706]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53546 ssh2
Aug 24 09:48:09 sd-**** sshd[21709]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:48:10 sd-**** su[21726]: Successful su for root by mad
Aug 24 09:48:10 sd-**** su[21726]: + pts/1 mad:root
Aug 24 09:48:10 sd-**** su[21726]: (pam_unix) session opened for user root by (uid=1000)
Aug 24 09:48:10 sd-**** su[21726]: (pam_unix) session closed for user root
Aug 24 09:48:10 sd-**** sshd[21709]: (pam_unix) session closed for user mad
Aug 24 09:48:11 sd-**** sshd[21839]: WARNING: /etc/ssh/moduli does not exist, using old modulus
Aug 24 09:48:12 sd-**** sshd[21839]: Accepted keyboard-interactive/pam for mad from 205.234.141.155 port 53547 ssh2
Aug 24 09:48:12 sd-**** sshd[21842]: (pam_unix) session opened for user mad by (uid=0)
Aug 24 09:48:12 sd-**** sshd[21842]: (pam_unix) session closed for user mad

Ce qui est impressionnant, c'est qu'il n'y a eu aucun brute force, ni sur le login, ni sur le pass (seul l'user "mad" était autorisé et avait un bon mot de passe), comme si tout était connu d'avance ! (Ou alors les logs ont étés épurés) De plus l'attaquant n'a eu aucun problème à passer en root.

Par contre, les heures et jours précédant cette attaque, de nombreux brutes forces sur le login ont étés tentés par des IPs différentes, mais a priori aucun n'avait trouvé l'user "mad"

Le point commun que j'ai trouvé entre toutes les dedibox sous debian et sous ubuntu est l'absence du fichier /etc/ssh/moduli qui donne l'erreur suivante dans les logs :
Aug 24 09:48:11 sd-**** sshd[21839]: WARNING: /etc/ssh/moduli does not exist, using old modulus

Je soupçonne fortement ce manque d'être responsable du problème que nous recontrons tous.
Ce fichier permet apparemment l'établissement du tunnel sécurisé via les clés Diffie-Hellman qu'il contient.

Si quelqu'un s'y connait un peu, cela serait intéressant d'approfondir cette piste.

Pour l'instant ma réaction à ce problème a été la réinstallation de SSH pour récupérer ce fichier moduli via un "apt-get --reinstall install ssh" et le changement du port SSH.

obcd

Re : Attaque par .htaccess

Le point commun que j'ai trouvé entre toutes les dedibox sous debian et sous ubuntu est l'absence du fichier /etc/ssh/moduli qui donne l'erreur suivante dans les logs :
Aug 24 09:48:11 sd-**** sshd[21839]: WARNING: /etc/ssh/moduli does not exist, using old modulus

le probleme etant que sur mon serveur compromis ce fichier est bel et bien présent

-rw-r--r--  1 root root   1361 2006-05-18 02:43 ssh_config
-rw-r--r--  1 root root 132839 2006-05-18 02:43 moduli
-rw-r--r--  1 root root    221 2006-10-08 12:36 ssh_host_rsa_key.pub
-rw-------  1 root root    887 2006-10-08 12:36 ssh_host_rsa_key
-rw-r--r--  1 root root    601 2006-10-08 12:36 ssh_host_dsa_key.pub
-rw-------  1 root root    672 2006-10-08 12:36 ssh_host_dsa_key
-rw-r--r--  1 root root   1891 2007-08-25 00:50 sshd_config

n'oublions pas aussi qu'il y a eu au moins une machine sous centos infectée (donc pas sur une base debian)

jobarjo

Re : Attaque par .htaccess

Impressionnant.
Dans mon cas, c'etait directement access par mot de passe root. Pas un seul essai foiré avant (depuis la meme ip)

Ca veut dire que l'attaque est faite par un bot qui sait gérer plusieurs cas.
J'avais installé une version specifique d'openssh contenant un patchée pour augmenter le débit par internet.
J'ai vérifié, j'ai ce fichier moduli.

J'ai beau chercher dans google, personne ne parle de cette attaque.
Etrange. Peut etre que c'était juste un coup d'essai.

Pour la distri cible, y'a que du debian/ubuntu/centos?

obcd

Re : Attaque par .htaccess

Pour la distri cible, y'a que du debian/ubuntu/centos?

d'apres le peu d'info qu'on peut trouver (ici et dedibox-news, où le prosélitisme est a son comble) il semblerait oui. mais n'oublions pas le plus gros point commun de tout ca ... cela ne semble avoir affecté que des dedibox et pas d'autres machines sur d'autres fournisseurs, c'est tout de meme assez etrange ... (et toujours plus de newsgroups dedibox ...)

jobarjo

Re : Attaque par .htaccess

Question importante pour les ubuntu.
Lors de l'install dedibox, est-ce qu'il vous met un mot de passe root?
Ou bien vous spécifiez un compte utilisateur avec son mot de passe?
(mad dans l'exemple ci dessus)

Si oui, c'est extremement clair que c'est une fuite dedibox.

Car je vois pas comment le bot pouvais connaitre l'utilisateur mad, a part s'il est listé dans une base de données...

Aux fait, les newsgroups dedibox sont toujours accessibles par nntp news.dedibox.fr
Il y a un thread sur cette attaque.

Dernière modification par jobarjo (Le 29/08/2007, à 17:20)

obcd

Re : Attaque par .htaccess

http://justas.livejournal.com/14548.html

voilà le gars responsable de nos problemes ...
les traductions automatisées russe/anglais semblent parler de referers et de payement ...
http://www.justas.ru semble bien montrer du spam aussi, sur un .edu américain lui aussi probablement compromis.

reste a comprendre comment il a fait maintenant ...

Corpo

Re : Attaque par .htaccess

Peut être que le serveur d'installation d'OS de dedibox a gardé un log et que ce log a été compromis ? Il pourrait par exemple contenir les login/password d'origine de l'installation (ceux choisis par l'user) ...

De quand date l'installation de votre systeme sur votre dédibox ?
Pour ma part:

Dédibox infectée:

Résultat de la dernière installation :
Lancée le : 	jeudi 04 mai 2006 à 08:42
Terminée le : 	jeudi 04 mai 2006 à 08:44
Résultat : 	Installation réussie
Attaqué le 24 Aout 2007 a 9h41

Dédibox saine:

Résultat de la dernière installation :
Lancée le : 	vendredi 02 février 2007 à 18:12
Terminée le : 	vendredi 02 février 2007 à 18:14
Résultat : 	Installation réussie
Non attaqué

Dernière modification par Corpo (Le 29/08/2007, à 17:59)

madcorp

Re : Attaque par .htaccess

Résultat de la dernière installation :
Lancée le : 	jeudi 22 juin 2006 à 20:48
Terminée le : 	jeudi 22 juin 2006 à 20:51
Résultat : 	Installation réussie
Attaqué le 24 Aout 2007 a 9h48

Je ne me souviens pas si j'avais entré mon login/pass directement à l'install ou pas.

Dommage pour la piste du moduli Cela veut dire que le problème n'est pas réglé !

jobarjo

Re : Attaque par .htaccess

moi aussi, installation mi 2006.
Ca tient debout, car il ont surement arrete de stocker les mot de passe depuis.
Le seul probleme c'est qu'ils ne les ont pas effaces, ou bien le pirate a eu acces a un backup.

Le fait que personne d'autre dans le monde ne parle d'attaque incrimine forcement dedibox, car un acces root est EXTREMEMENT grave!

Je rappelle quand meme que centos4 est une copie de redhat entreprise 4, utilisee par beaucoup de boites.

Si une telle faille etait revelee, on en parlerai au 20h! Hors la personne ne parle d'une faille avec acces root en quelques secondes.

Rapellez vous bien si vous avez donne votre compte utilisateur (et mot de passe) avec access su lors de l'install de votre boite, ca aiderait pour confirmer.

DaRkYoda

Re : Attaque par .htaccess

Question bête pour une personne plus doué que moi en admin et analyse de log :

Est ce qu'on est sur que la seule chose qui a été faite est la création des fichiers htaccess ?

Peut t'on vérifier les fichiers qui ont été transféré (scp, ftp ...) et eventuellement des users créés pour le ssh ou autre ... ?

Merci d'avance pour vos lumières !

PS : J'ai envoyé un message à l'assistance dedibox qui m'a répondu qu'il ne s'occupe que du matos et pas des problèmes logiciels .... Sympa ! Surtout s'il se confirme que la faille est chez eux !

gBat

Re : Attaque par .htaccess

Pour notre part on a autorisé le staff à accéder à notre dédi. On pensait bien faire n'y connaissant absolument rien ou presque.

Pour l'instant, rien ne s'est reproduit. J'hésite à tout backup, et reinstaller.

Je suis extrêment supris du nombre de personnes touchées.

obcd

Re : Attaque par .htaccess

Je suis extrêment supris du nombre de personnes touchées.

Je suis extrêment surpris du nombre de DEDIBOX touchées.

c'est ca qu'il faut dire ...

jobarjo

Re : Attaque par .htaccess

Je dirais meme, je suis plus qu'extrement surpris du nombre de non dedibox touchees (aucune a ma conaissance)

S'il y a eu acces root, tout est possible, seul la reinstalle peut rassurer.
cependant, c'est un bot qui a fait le boulot a la va vite.
J'ai pas l'impression qu'il a installe une back door (mais c'est tres difficile de savoir)
Mais je vais profiter de l'occasion pour migrer vers kimsufi.

Corpo

Re : Attaque par .htaccess

J'ai fait un check des acces/creations de fichiers a la date en question, il n'y avait rien d'autre que du normal, les .htaccess, et l'utilisation de scp (je ne m'en sers quasiment jamais, il a été utilisé pour transférer les .htaccess a mon avis, mais d'un autre côté scripter du scp c'est pas super évident ...
J'ai regardé, aucune clé rsa d'un autre host a été ajoutée a mes hotes connus. J'ai pas non plus un pic d'upload ou de download a ce moment là, donc si des données sont sorties de la machine, c'est rien de bien gros.

obcd

Re : Attaque par .htaccess

une autre personne infectée
http://redox.blog33k.com/p7294/2007-08- … dibox.html
...

olivierb2

Re : Attaque par .htaccess

Bon bah moi aussi, pareil, Dedibox, fichier .htacces, le 24 aout,...

J'ai immédiatement changé le pass root. Je vais surveiller maintenant.

Tout ce que je peux dire, c'est que je me rappelle très bien avoir mis le mot de passe root pendant la phase d'installation dedibox, et je ne l'ai jamais changé (honte a moi). Donc je retiens la leçon, on est jamais trop prudent. Pour le moment, je ne pense pas réinstaller mon serveur, mais je vais travailler la dessus pour voir si je trouve des choses suspectes.

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

gBat

Re : Attaque par .htaccess

Serait-il util de récapituler tous nos posts dans le premier, en précisant le nombre de machines touchées, leur distrib et les logiciels installés?

olivierb2

Re : Attaque par .htaccess

Dedibox installé aussi en 2006, j'en ai une autre en 2007, pas eu d'attaque.

J'ai pourtant suivant le même processus d'installation, même firefox, etc..

Franchement, je commence a être persuadé d'une fuite chez dedibox.

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

Lvdl

Re : Attaque par .htaccess

Dedibox installé en 2006, pas d'attaque ....

Personnellement, vu que vous n'etes pas capables d'amener la preuve que les autres ISP n'ont pas été touché, vous devriez arretter "d'accuser" a mots cachés ...

Reste que vous ne parlez que de SSH, mais pas de ce qui a autour, hors, toute votre machine est susceptible d'avoir fait cette attaque, et il se peut que le SSH ne soit que la derniere partie - prefinale- de l'attaque ...

Vous devriez vous pencher sur vos scripts php et autre application. Etiez vous uptodate au moment de l'attaque ?

olivierb2

Re : Attaque par .htaccess

Certes nos applications ne sont sans doute pas parfaites, mais encore faut il trouver les failles, et cela prend du temps. Je trouve étrange que cela s'est fait tous a la même date.

Dernière modification par olivierb2 (Le 31/08/2007, à 17:41)

---

Serveurs linux complet clef en main à prix mini : http://ishare.iabsis.com

martin pecheur

Re : Attaque par .htaccess

Pareil...

Dedibox aout 2006 jamais réinstallée, mot de passe non changé et accès root autorisé...

Excès de confiance en moi et mes capacités à prévoir ou fuite d'information chez dedibox qui disposait du mot de passe root ? Je ne saurais répondre.

Pour le reste de l'environnement installation de base fournie par dedibox et apt-get upgrade toutes les semaines.

Quand on joue avec le feu, on finit par se brûler. Toutefois j'envisage une migration vers chez OVH pour diverses raisons, dont une perte de confiance en dedibox et un besoin de machines un peu plus costaud.

Lvdl

Re : Attaque par .htaccess

Certes nos applications ne sont sans doute pas parfaites, mais encore faut il trouver les failles, et cela prend du temps. Je trouve étrange que cela s'est fait tous a la même date.

Tu as peut etre des applis plus classique, tel que :
phpmyadmin
webmin

voir du joomla, du wordpress etc etc.

Est-ce que ton appli propose l'upload de fichier ? Si oui, comment a tu sécurisé cette partie ?

Il faut savoir que quand un robot attaque, il scan toutes les failles php qu'il connait + des répertoires classiques pour voir (/admin par exemple) etc etc.