Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#151 Le 04/09/2010, à 09:15

llwynrt

Re : Votre avis sur LegTux svp

puisque kegtux n'a pas été touché, ça pourrait être intéressant de voir les modifications qu'il a apporté au code source de legtux, non ?


Les erreurs Windows, c'est un peu comme les rêves, il faut savoir les interpréter, parfois ça peut vouloir dire quelque chose !

Hors ligne

#152 Le 04/09/2010, à 09:58

LegSim

Re : Votre avis sur LegTux svp

C'est juste un "coup de chance", le pirate ne s'étant pas intéressé à KegTux, qui comporte sûrement la même faille, voire d'autres.


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#153 Le 04/09/2010, à 10:29

Bastien572

Re : Votre avis sur LegTux svp

SIMON ! J'ai du chercher... Mais je t'ai finalement trouvé !

Les 2 failles que j'ai trouvé:

1. La faille include permettant d'avoir un accès aux MD5 du htpasswd TUTO pour se débarasser de la faille disponible ici:

http://docs.google.com/viewer?a=v&q=cache:J_bZ56BOalQJ:www.ghostsinthestack.org/pdf/Faille-include.pdf+faille+include+pdf&hl=fr&gl=fr&pid=bl&srcid=ADGEEShWPxLTjO4Z0Ix0iIW8dyWUGwuwpQGz_SxGcYU7f_g-3zQSJt728d4xhPWS5LtBwNyuc-qN6R2pDVYO2WmWKrZELt6y8PbzZ0xaYXg3DkIQP09sAe38lI5DiAlx_fDLLbYcIOgH&sig=AHIEtbRmaaBKURBEfy9hxGC-2kXoEEdw1w

2. Dans la derniere version de Legtux tu donnes tes MD5 du htapasswd ! Aujourdhui en moins de 1 semaine ça ce décripte !
Screenshot disponible ici:
http://www.kegtux.org/?page=upload/view_file&id=83402036

3. et SVP connecte toi sur http://www.kegtux.org/forum/

MERCI !

Hors ligne

#154 Le 04/09/2010, à 10:51

LegSim

Re : Votre avis sur LegTux svp

1) Tu as testé pour voir si ça fonctionnait sur LegTux ? Normalement non.

2) Les mots de passe ne sont plus les mêmes ! wink


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#155 Le 04/09/2010, à 10:53

Vanaryon

Re : Votre avis sur LegTux svp

Il y a vraiment des cons sur cette planète. Franchement, je ne vois pas ce que le hacker a gagné, à part la satisfaction personnelle de foutre la merde et de réussir.

@LegSim : bonne chance, tiens le coup, j'ai bien peur que le gars recommence jusqu'à que LegTux ne soit plus "piratable". Un con ça le reste wink


Jappix Mini, un mini-chat pour votre site web !

Hors ligne

#156 Le 04/09/2010, à 10:57

Bastien572

Re : Votre avis sur LegTux svp

Oui mais avant les mdps étaient les mêmes ?

Hors ligne

#157 Le 04/09/2010, à 11:09

Rolinh

Re : Votre avis sur LegTux svp

Pourquoi utilises-tu du md5? Ça se décrypte très facilement maintenant...
Utilises plutôt du SHA-1 par exemple

Hors ligne

#158 Le 04/09/2010, à 11:09

ubuntlin

Re : Votre avis sur LegTux svp

Chez moi le FTP est down...
J'espère que les fichiers que j'avais uploadé dessus ne sont pas effacer...
@Legsim : Bonne chance à toi, je peux pas t'aider, c'est hors de mes compétences smile

En espérant que Legtux s'en remettra très vite smile

Dernière modification par ubuntlin (Le 04/09/2010, à 11:10)

Hors ligne

#159 Le 04/09/2010, à 11:17

LegSim

Re : Votre avis sur LegTux svp

@Sherwood51 : Oui, le MD5 se décrypte, tout comme le SHA-1, j'ai déjà fait l'essai.
Mais pour un password assez long, faut du temps pour le faire !

@Ubuntulin, les bases de données sont toujours là, il te suffira de réinstaller Wordpress.

@Vanaryon : Merci ! wink


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#160 Le 04/09/2010, à 11:35

ubuntlin

Re : Votre avis sur LegTux svp

C'est bon, tout est revenu de mon coté au niveau de mon site et de wordpress.
@Legsim : merci !

Hors ligne

#161 Le 04/09/2010, à 12:45

nux94

Re : Votre avis sur LegTux svp

même chose
merci beaucoup


╔═══╗ ╔═══╗ ╔═══╗ ╔╗
║╔══╝ ║╔═╗║ ║╔═╗║ ║║
║╚══╗ ║╚═╝║ ║╚═╝║ ║╚═╗
╚═══╝ ╚═══╝ ╚═══╝ ╚══╝

Hors ligne

#162 Le 04/09/2010, à 13:02

ubuntlin

Re : Votre avis sur LegTux svp

Je vois que le forum est de retour !
Bon boulot Legsim !

Hors ligne

#163 Le 04/09/2010, à 13:04

LegSim

Re : Votre avis sur LegTux svp

De retour, mais vide !


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#164 Le 04/09/2010, à 13:10

casselinux

Re : Votre avis sur LegTux svp

Vide? Bien! Tu va pouvoir retravailler le forum! mdr ^^

Un petit template Legtux pour PhpBB serait le bienvenue, ça ferait jolie... ^^


Utilisateur d'Ubuntu depuis 2008, partisan du libre mais anti-extrémiste... Bein quoi? Je n'aime pas les sectes... :paf:
Blog de Claqueur - Le blog qui donne des claques! :3

Hors ligne

#165 Le 04/09/2010, à 13:14

LegSim

Re : Votre avis sur LegTux svp

Oui, le pirate a trouvé utile de virer aussi le forum en plus du système et des données utilisateurs.

Pour l'instant j'ai pas trop le temps pour un template ! wink


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#166 Le 04/09/2010, à 13:18

casselinux

Re : Votre avis sur LegTux svp

Suffit d'en trouver un qui soit libre (GPL), et à la limite je pourrais en faire un même si je ne suis pas un pro en CSS/xHTML smile

Je me baserais tout simplement sur un Template existant avec une licence me permettant de la modifier.


Utilisateur d'Ubuntu depuis 2008, partisan du libre mais anti-extrémiste... Bein quoi? Je n'aime pas les sectes... :paf:
Blog de Claqueur - Le blog qui donne des claques! :3

Hors ligne

#167 Le 04/09/2010, à 14:18

Vysserk3

Re : Votre avis sur LegTux svp

Si le problème venait effectivement du hachage des mots de passe, je te conseille de changer vers un algo de hash plus adapté, comme sha512 en modifiant le fichier /etc/default/passwd (mettre CRYPT=sha512). De même pour PAM dans /etc/pam.d/passwd, remplacer md5 par sha512.
Une raison particulière pour laquelle tu n'utilises pas le système d'authentification de ssh par clé publique/clé privée ? Avec ça, tu pourrais désactiver l'authentification par mot de passe.

Hors ligne

#168 Le 04/09/2010, à 14:22

LegSim

Re : Votre avis sur LegTux svp

Je n'utilise pas l'authentification PAM.

C'est fait depuis hier pour SSH ! wink


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#169 Le 04/09/2010, à 14:41

pef

Re : Votre avis sur LegTux svp

Sherwood51 a écrit :

Pourquoi utilises-tu du md5? Ça se décrypte très facilement maintenant...
Utilises plutôt du SHA-1 par exemple

Je relève cette énormité yikes

MD5 et SHA1 sont des fonctions de hashage, c'est à dire qu'à un hash ne peut correspondre qu'une seule donnée en entrée.

Au niveau sécurité MD5 est déprécié, car des chercheurs ont trouvé le moyen de générer des collisions, il est donc moins sûr que SHA* au sens purement cryptographique du terme, mais loin d'être facile à contourner.

Le seul moyen de trouver le mot de passe d'origine d'un hash c'est le brut-force, c'est à dire essayer toutes les combinaisons possibles de mot de passe pour correspondant au hash recherché.
Il y a des astuces, comme les rainbow tables (correspondances hash<->mot de passe en clair précalculées), mais pour fonctionner le mot de passe choisi à l'origine doit être mauvais et donc facilement trouvable par cette méthode.

Et sinon ce n'est pas du md5 dans la capture d'écran au-dessus (MD5 c'est 32 caractères), mais plutôt une sortie de crypt() de php je dirais.

La faille n'est pas dans les hashs, mais dans la sécurisation et la programmation de l'applicatif sur le serveur, mettre en place une infrastructure secure, même si c'est gratuit, ça ne s'improvise pas.

Hors ligne

#170 Le 04/09/2010, à 15:08

Vysserk3

Re : Votre avis sur LegTux svp

Un truc aussi qui n'a pas été relevé ici je crois. Ce sont les sauvegardes...les sauvegardes doivent se faire hors site normalement, être régulières et être vérifiées souvent. Ca aurait permis de limiter un tant soit peu les pertes de données, voire pourquoi pas via un système de rollback de revenir en arrière plus simplement.

Dernière modification par Vysserk3 (Le 04/09/2010, à 15:09)

Hors ligne

#171 Le 04/09/2010, à 15:18

LegSim

Re : Votre avis sur LegTux svp

C'était le cas tout récemment, mais j'ai un soucis de disque dur en début de semaine, et j'avais commencé à rebackuper (c'est pour ça que SQL et Mail sont encore là !), mais trop tard visiblement.


L'ouverture d'esprit ne se limite pas forcement à une fracture du crâne...
Ici, hébergement, adresses e-mail et jabber et upload de fichiers sur serveur libre, le tout à prix libre.

Hors ligne

#172 Le 04/09/2010, à 15:31

Rolinh

Re : Votre avis sur LegTux svp

pef a écrit :
Sherwood51 a écrit :

Pourquoi utilises-tu du md5? Ça se décrypte très facilement maintenant...
Utilises plutôt du SHA-1 par exemple

Je relève cette énormité yikes

Tu as un terme plus approprié pour "déshasher"?
C'est quoi que tu trouves énorme exactement?
(et je suis au courant de la suite de ton message aussi)

EDIT: et d'ailleurs, il n'y a pas que par le brut force que tu peux trouver la correspondance: il y a des bases de données string/version hachée assez énorme qui permettent de trouver pas mal de mots de passe.
Et ce n'est pas difficile à trouver (exemple: celui-là par exemple

EDIT2: pardon, tu l'as aussi mentionnée roll (mais cette technique n'est pas du brut-force mad )

Dernière modification par Sherwood51 (Le 04/09/2010, à 15:39)

Hors ligne

#173 Le 04/09/2010, à 15:51

pef

Re : Votre avis sur LegTux svp

Sherwood51 a écrit :
pef a écrit :
Sherwood51 a écrit :

Pourquoi utilises-tu du md5? Ça se décrypte très facilement maintenant...
Utilises plutôt du SHA-1 par exemple

Je relève cette énormité yikes

Tu as un terme plus approprié pour "déshasher"?
C'est quoi que tu trouves énorme exactement?
(et je suis au courant de la suite de ton message aussi)

EDIT: et d'ailleurs, il n'y a pas que par le brut force que tu peux trouver la correspondance: il y a des bases de données string/version hachée assez énorme qui permettent de trouver pas mal de mots de passe.
Et ce n'est pas difficile à trouver (exemple: celui-là par exemple

EDIT2: pardon, tu l'as aussi mentionnée roll (mais cette technique n'est pas du brut-force mad )

On en revient à la même faiblesse de départ : un mot de passe faible, essence même des dictionnaires

edit: ce que je trouve énorme, c'est de dire que md5 se ""décrypte"" facilement, ce qui est faux.

Dernière modification par pef (Le 04/09/2010, à 15:52)

Hors ligne

#174 Le 04/09/2010, à 16:00

Rolinh

Re : Votre avis sur LegTux svp

pef a écrit :

edit: ce que je trouve énorme, c'est de dire que md5 se ""décrypte"" facilement, ce qui est faux.

Relativement facilement. Regarde ce qu'en dit notamment Wikipedia wink
un sha512 comme proposé plus haut, c'est quand même nettement mieux!

Hors ligne

#175 Le 04/09/2010, à 16:12

pef

Re : Votre avis sur LegTux svp

src a écrit :

Laisser le compte root accessible en SSH, saimal...
Il vaut mieux le désactiver et rendre accessible uniquement un compte bidon avec un nom et un mot de passe alakon. Pour que le pirate arrive à trouver ça, il faut y aller... et ensuite il devra encore trouver le mot de passe root.

Rends-lui la tâche plus compliquée avec fail2ban.

Dire que l'accès root via ssh est dangereux, c'est un précepte qui vient d'un autre temps, où les mots de passes circulaient en clair à travers le réseau.

Avec un serveur ssh configuré pour n'accepter que les clés, se logguer en root n'est pas plus dangereux qu'en utilisateur normal, sous réserve de bien protéger sa clé (passphrase et ne pas la laisser traîner.)

Pour le compte user bidon à la place, je trouve que c'est bien plus dangereux, car une fois qu'un shell a été obtenu sur la machine, il suffit de trouver un exploit permettant de passer root, et c'est pas ce qui manque surtout si le noyau n'est pas mis à jour très régulièrement, voir dans les heures après la découverte de la faille. (http://www.google.fr/search?q=linux+local+root+exploit)

Après, c'est pas spécialement Linux, FreeBSD par exemple a aussi eu ce type d'exploit de découvert, sans parler de ceux trouvés par des crackers compétents et non révélés (et donc non corrigés).

Hors ligne