Attaque par .htaccess

jobarjo · Le 27/08/2007, à 10:44

Bonjour

J'ai ete victime de la meme attaque, avec la meme ip:
Aug 24 21:09:54 dedi1 sshd[1148]: Accepted password for root from ::ffff:205.234.141.155 port 55530 ssh2

(7 access consecutifs pas plus)

Je suis sous centos4, pas updaté depuis assez longtemps.
J'utilise denyhosts qui empeche les brut forces, mon mot de passe n'est pas évident (généré), je n'utilise pas dot clear.
Si quelqu'un a une idée sur la faille utilisée, ca m'interesse très fortement.

Corpo · Le 27/08/2007, à 11:07

Je n'ai aucune idée pour l'instant de la faille utilisée.

Ce que j'ai sur mon serveur (on va bien trouver un point commun ...)

Ubuntu 7.04 a jour
Un board Invision 1.3.1 avec les derniers patchs de sécurité
Plusieurs Joomla (mais pas forcement les dernières versions)
Apache 2.2.4 compilé par moi même avec peu de modules
Php 5.2.1 avec php suoshin (juste le module)
Un serveur Trackmania Nations

Je n'ai rien trouvé dans les logs apache, mais quand j'ai regardé ils avaient déjà été parsés par Awstats. A noter que mon AWStats était protégé par un .htaccess donc a priori inaccessible pour exploiter une quelconque faille.

Mon serveur a été "pénétré" par ssh en compte root, il n'y a pas eu d'essai infructueux, directement le bon mot de passe. Mon mot de passe est bien complexe (long, chiffres, majuscules et minuscules et totalement incohérent )

Alors soit il y a une faille monstrueuse dans SSH-2.0-OpenSSH_4.3p2 Debian-8ubuntu1, là j'ai comme un doute, soit il y a une mégafaille dans autre chose ... mais pour que ça donne mon mdp root, c'est violent

obcd · Le 27/08/2007, à 12:16

il faut surtout trouver le point commun à tout cela déjà en premier lieu.
et a mon avis le premier et veritable point commun à tout ca ... c'est dedibox ... un ami a eu droit lui aussi au passage de cette ip, et uniquement sur son serveur hebergé chez dedibox, pas les autres, et moi pareil.

alors soit on est confrontés a un faille enorme dans openssh (je fais un dist-upgrade par semaine donc theoriquement je suis plus ou moins a jour), soit a un probleme de confidentialité chez dedibox (ce qui me semble le cas le plus probable etant donné que les os sont variés)

Corpo · Le 27/08/2007, à 12:46

Corpo a écrit :

Php 5.2.1 avec php suoshin (juste le module)

Php 5.2.3 en fait ...
et un serveur team speak 2.0.21 que je viens d'upgrader, au cas où

Corpo · Le 27/08/2007, à 12:47

obcd a écrit :

il faut surtout trouver le point commun à tout cela déjà en premier lieu.
et a mon avis le premier et veritable point commun à tout ca ... c'est dedibox ... un ami a eu droit lui aussi au passage de cette ip, et uniquement sur son serveur hebergé chez dedibox, pas les autres, et moi pareil.
alors soit on est confrontés a un faille enorme dans openssh (je fais un dist-upgrade par semaine donc theoriquement je suis plus ou moins a jour), soit a un probleme de confidentialité chez dedibox (ce qui me semble le cas le plus probable etant donné que les os sont variés)

Oui mon serveur est bien une dédibox
Par contre j'ai une autre dédibox, en Ubuntu aussi, mais elle n'a pas été affectée ... par contre y'a moins de choses dessus (que du apache 2 en fait, et du postfix)

Corpo · Le 27/08/2007, à 16:07

Heu ... vous avez tous ProFTPD 1.3.0 ?

Car http://www.addict3d.org/news/55191/ProFTPD+1.3.0/addict3d.org c'est pas très rassurant ...

obcd · Le 27/08/2007, à 16:38

je songeais eventuellement a proftpd effectivement vu qu'il est installé chez moi, mais il se trouve qu'un ami a moi qui a ete corrompu lui aussi n'a pas proftpd d'installé sur la machine.

suspects possibles : apache2 2.0.x, php5.1.x, opensshd 4.2x (d'apres ce que nous avons en commun sur les machines)

ou alors carrément une bonne grosse faille de securité chez dedibox (ce qui semble plus que probable)

obcd · Le 27/08/2007, à 16:46

et la faille que tu indiques necessite un accès local qui plus est

jobarjo · Le 27/08/2007, à 16:51

effectivement dedibox, centos4, apache2 php5, pas de ftp (j'utilise rssh), shorewall.
Je pense qu'il y a vraiment un probleme avec sshd... (a qui je faisait entierement confiance!)

Oui mais, l'acces root par ssh/password avec un systeme anti brute force (denyhost)!?
Ca me la coupe!

Je vois pas comment dedibox aurais pu mettre une faille. Remarque, c'est vrai que les distros viennent de chez eux...

jobarjo · Le 27/08/2007, à 16:56

au fait j'utilise openssh-3.9p1-8.SL.4.22
c'est une version que j'ai installee moi meme, qui comporte un patch pour accelerer openssh (tolerance a la latence) dont je me souviens plus le nom.
Le rpm viens du net.
Donc je vois pas ou dedibox pourrais entrer dans le systeme.

NooP · Le 27/08/2007, à 16:58

Il serait peut être bien de regarder d'un autre coté ...

Quels logiciels non sûrs pourriez vous avoir en commun sur vos PC et non sur le serveur ?
Je pense à un trojan qui enregistrerait le clavier ou un truc comme ça.
Enfin, c'est juste une piste ...

Dernière modification par NooP (Le 27/08/2007, à 17:00)

obcd · Le 27/08/2007, à 16:59

jobarjo a écrit :

Donc je vois pas ou dedibox pourrais entrer dans le systeme.

dans le sens où quand tu installes tu saisis un mot de passe root chez eux
et que s'ils se sont fait niquer leurs bases de données ... seulement si la transparence là bas est la même que chez free ... on est pas pret de savoir ce qu'il en est/etait.

obcd · Le 27/08/2007, à 17:08

NooP a écrit :

Il serait peut être bien de regarder d'un autre coté ...
Quels logiciels non sûrs pourriez vous avoir en commun sur vos PC et non sur le serveur ?
Je pense à un trojan qui enregistrerait le clavier ou un truc comme ça.
Enfin, c'est juste une piste ...

rien de tel chez moi ... pas de rootkit ou de process louches.
les seuls moments où mon pc est infecté par quelquechose est lorsque je l'infecte en connaissance de cause pour aider des gens a virer leurs merdes.

jobarjo · Le 27/08/2007, à 17:29

Re: Attaque par .htaccess
Il serait peut être bien de regarder d'un autre coté ...
Quels logiciels non sûrs pourriez vous avoir en commun sur vos PC et non sur le serveur ?
Je pense à un trojan qui enregistrerait le clavier ou un truc comme ça.
Enfin, c'est juste une piste ...

j'utilise pagent (ssh-agent pour putty) pour me connecter a un compte utilisateur. Jamais root (meme si je l'avais pas desactive)

jobarjo a écrit:
Donc je vois pas ou dedibox pourrais entrer dans le systeme.
dans le sens où quand tu installes tu saisis un mot de passe root chez eux
et que s'ils se sont fait niquer leurs bases de données ... seulement si la transparence là bas est la même que chez free ... on est pas pret de savoir ce qu'il en est/etait.

Pas bete ca!
Je sais pas si j'ai change mon MDP depuis la creation chez dedibox.
Mais je sais meme pas si je leur ai donne.

Pour les autres, avez vous changé votre MDP depuis la création de votre dedibox?

Corpo · Le 27/08/2007, à 17:46

J'ai le même mdp depuis l'install de ma dedibox (mais je l'ai choisi moi)
par contre ... c'est celui de ma console dedibox aussi

jobarjo · Le 27/08/2007, à 21:49

Moi non, c'est pas le mot de passe console.
Mais je me souviens plus si le mot de passe root est stocke chez dedibox ou non.

Alors, fuite des mots de passe root chez dedibox?
quelqu'un confirme ou infirme?

Drako · Le 28/08/2007, à 08:23

Exactement je meme probleme que vous :

Debian / Apache2 Php5 Mysql5 proftpd et ... Dedibox !

les .htaccess tous modifies dans les environs

Ce que j'ai remarqué c'est que mon serveur WEB/FTP ( Apache2/ptorftpd) utilise des droits différents de que root ou www-data. Chaque site web est protéger par son user et son groupe propre.

Tout mes .htaccess etaient modifiés exactement à la meme date et par le root. Donc je confirme bien c'est belle et bien un probleme qui donne un root acces et c'est bien un rootkit qui modifie les .htaccess. Ce qui me parait ennorme c'est que TOUS les .htaccess ont tous leur date de modification exacte a la minute pret.

Les points commun c'est qu'on est tous sur dedibox et quand vous autoriser dedibox a acceder a votre machine, vous retrouver des clefs SSH d'eux dans .ssh du user root :

arnaud@arnaud.staff.dedibox.fr

... sinon mefié vous de cette merde car si les moteur de recherche trouve votre redirect des .htaccess , je ne pense pas qu'ils aiment beaucoup et risque de deindexer le site.

Je continue a chercher le probleme mais les log on l'air d'etre bien netoyer je ne trouve pas grand chose.

NooP · Le 28/08/2007, à 10:22

Je crois que je tiens le coupable :

http://www.zataz.com/alerte-securite/14 … ploit.html

Corpo · Le 28/08/2007, à 12:02

Mauvaise pioche: Je n'ai pas Plesk sur mon serveur ...

Corpo · Le 28/08/2007, à 12:05

Drako a écrit :

Les points commun c'est qu'on est tous sur dedibox et quand vous autoriser dedibox a acceder a votre machine, vous retrouver des clefs SSH d'eux dans .ssh du user root :
arnaud@arnaud.staff.dedibox.fr

Sauf que s'ils étaient rentrés comme ça, ce qui implique tout de même qu'ils aient une de ces clés privées + son mot de passe, dans auth.log on aurait eu Accepted publickey for root au lieu de Accepted password for root ...

Dernière modification par Corpo (Le 28/08/2007, à 12:05)

DaRkYoda · Le 28/08/2007, à 13:30

Salut à tous,

j'ai moi aussi eu le même problème sur Dedibox :'(

Le auth.log a apparement été nettoyé, j'ai aucune trace de connexion root ...

J'espère que quelqu'un va pouvoir trouver le pourquoi du comment, histoire de pas reproduire la chose

NooP · Le 28/08/2007, à 13:42

Suggestion : Contacter le support technique Dedibox, car le souci se trouve apparement au niveau de leur architecture. Peut être cela fera avancer le schmilblic

ophawk · Le 28/08/2007, à 15:26

Idem pour moi avec une dedibox, j'avais le même mot de passe root que lors de la creation du systeme.
J'ai changé le mot de passe et je vais contacter le service dedibox.

heriniaina · Le 28/08/2007, à 16:54

Meme attaque aussi pour moi :-(

apache2 / php4 et... dedibox (le ubuntu release de dedibox)

ils ont effacé le auth.log d'avant l'attaque

je pensais à phpadsnew mais il parait que

jobarjo · Le 28/08/2007, à 23:31

arnaud de dedibox a repondu dans les newsgroups qu'ils ne stockent le mot de passe root que pendant l'install. Pas apres.

Je vois toujours pas d'autres explications.
Exactement 7 connexions ssh root par mot de passe, c'est vraiment louche. (sauf si c'est mis expres pour brouiller les pistes...)

Au fait, pour les logs, sur centos, c'est /var/log/secure...
Peut etre pour ca qu'ils ne l'ont pas supprime.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 27/08/2007, à 10:44

Re : Attaque par .htaccess

#27 Le 27/08/2007, à 11:07

Re : Attaque par .htaccess

#28 Le 27/08/2007, à 12:16

Re : Attaque par .htaccess

#29 Le 27/08/2007, à 12:46

Re : Attaque par .htaccess

#30 Le 27/08/2007, à 12:47

Re : Attaque par .htaccess

#31 Le 27/08/2007, à 16:07

Re : Attaque par .htaccess

#32 Le 27/08/2007, à 16:38

Re : Attaque par .htaccess

#33 Le 27/08/2007, à 16:46

Re : Attaque par .htaccess

#34 Le 27/08/2007, à 16:51

Re : Attaque par .htaccess

#35 Le 27/08/2007, à 16:56

Re : Attaque par .htaccess

#36 Le 27/08/2007, à 16:58

Re : Attaque par .htaccess

#37 Le 27/08/2007, à 16:59

Re : Attaque par .htaccess

#38 Le 27/08/2007, à 17:08

Re : Attaque par .htaccess

#39 Le 27/08/2007, à 17:29

Re : Attaque par .htaccess

#40 Le 27/08/2007, à 17:46

Re : Attaque par .htaccess

#41 Le 27/08/2007, à 21:49

Re : Attaque par .htaccess

#42 Le 28/08/2007, à 08:23

Re : Attaque par .htaccess

#43 Le 28/08/2007, à 10:22

Re : Attaque par .htaccess

#44 Le 28/08/2007, à 12:02

Re : Attaque par .htaccess

#45 Le 28/08/2007, à 12:05

Re : Attaque par .htaccess

#46 Le 28/08/2007, à 13:30

Re : Attaque par .htaccess

#47 Le 28/08/2007, à 13:42

Re : Attaque par .htaccess

#48 Le 28/08/2007, à 15:26

Re : Attaque par .htaccess

#49 Le 28/08/2007, à 16:54

Re : Attaque par .htaccess

#50 Le 28/08/2007, à 23:31

Re : Attaque par .htaccess

Pied de page des forums