#1 Le 24/08/2007, à 13:32
- gBat
Attaque par .htaccess
Bonjour à tous,
Je dispose d'un server sous débian sarge, je sais qu'on est sur le forum ubuntu-fr, mais je suis plus venu chercher de l'aide en général que quelque chose de spécifique, et puis je parcours souvent ce forum, c'est pourquoi je me décide à poster ici.
Je vous expose mon cas. Avec deux copains, nous louons un petit server dédié qui nous sert à héberger nos blogs respectifs ( Dotclear2), ainsi que de nombreux petits sites, et enfin un server de jeu CS 1.6. Celà fait bientôt un an que nous l'avons, et jusqu'à présent tout allait bien, aucun souci. Mais depuis hier, je m'apperçois que tout plante, aucun des sites n'est accessible, mais le ftp, ssh marchent.
Je vais donc scruter les logs d'apache2 et là je vois une liste monstrueuse d'erreurs dues à des fichiers .htaccess qui ne devraient même pas exister. En supprimant ces fichiers tout redevient à la normal. Cependant d'ici hier 23h et aujourd'hui, tout a recommencé. Et cette fois-ci à la fin du log je vois que apache2 a reçu un SIGTERM, et donc il ne tourne plus.
Sachant que nous somme trois à faire notre tambouille sur ce serveur, il est plus que possible qu'il y ait de nombreuses failles, moi-même je ne suis pas un spécialiste de la sécurité.
Comment puis-je remonter à cette faille? Comment me protéger de ces "attaques"?
Merci beaucoup.
Dernière modification par gBat (Le 30/08/2007, à 13:22)
Hors ligne
#2 Le 24/08/2007, à 13:48
- HymnToLife
Re : Attaque par .htaccess
Tu dis que vous utilisez FTP. Est-ce que les fichiers sont apparus dans des répertoires auxquels vous pouvez accéder part FTP ? Ou alors, encore pire, est-ce qu'un des comptes utilisés en FTP a les droits d'administration (sudo) ?
- Rodrigue, as-tu du cœur ?
- Non, mais j'ai du pique !
Hors ligne
#3 Le 24/08/2007, à 13:54
- gBat
Re : Attaque par .htaccess
Ils sont apparus à plusieurs endroits :
/home/user1/.
/home/user1/home/.
/home/user1/blog/.
/home/user1/sitex/.
idem pour deux autres users, et un dans /var/www/. ce qui m'inquiète plus.
Sous débian sudo n'existe pas, et root n'a pas d'accès ftp. Chaque compte ftp accède juste à son public_html.
Hors ligne
#4 Le 24/08/2007, à 14:02
- HymnToLife
Re : Attaque par .htaccess
Sous débian sudo n'existe pas
Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...
Tu fais comment, pour devenir root alors, si tu n'utilises pas sudo ? su ou carrément ssh root@ ?
- Rodrigue, as-tu du cœur ?
- Non, mais j'ai du pique !
Hors ligne
#5 Le 24/08/2007, à 14:09
- gBat
Re : Attaque par .htaccess
ahem, ma réponse n'était pas du tout agressive. Désolé, je pensais que sudo était propre à ubuntu, car sur notre débian il n'est pas installé. Je ne doute pas de tes compétences, mais plutôt des miennes sinon, je ne serais pas ici entrain de te demander un peu d'aide.
Pour te répondre, je connecte avec un compte banal et je fais su. Parcontre il me semble que root a accés au ssh, mais je ne m'en sers pas.
Encore désolé, et merci.
Hors ligne
#6 Le 24/08/2007, à 14:16
- HymnToLife
Re : Attaque par .htaccess
ahem, ma réponse n'était pas du tout agressive. Désolé, je pensais que sudo était propre à ubuntu, car sur notre débian il n'est pas installé.
sudo existe depuis les années 80
En tout cas, si root a accès au ssh, dépêche-toi de le désactiver et scrute tes logs pour voir si tu n'as pas une connexion root.
- Rodrigue, as-tu du cœur ?
- Non, mais j'ai du pique !
Hors ligne
#7 Le 24/08/2007, à 15:37
- web09
Re : Attaque par .htaccess
Bonjour,
je m'incruste dans votre conversation car je rencontre le meme type de probleme sous ubuntu 6.06;
Les fichiers htaccess sont placés au meme endroits et reorientent a partir des moteurs de recherche vers un site porno.
J'utilise aussi un dotclear ... a voir? si ca vient pas de la?
les fichiers htaccess:
RewriteEngine on
Options +FollowSymLinks
RewriteCond %{HTTP_REFERER} ^.*(google|live|yahoo|ask|msn|aol|altavista).*$ [NC]
RewriteRule .*$ http://rostoffhost.info/strf/ [L]
Pour ma part je les ai supprimé mais jusqu'a quand?
#8 Le 24/08/2007, à 15:41
- HymnToLife
Re : Attaque par .htaccess
Bon, sous Ubuntu, tu n'as au moins pas le problème du ssh root@ activé... Tu te connectes par FTP parfois ? Si oui, est-ce que c'est avec le compte qui peut utiliser sudo ?
- Rodrigue, as-tu du cœur ?
- Non, mais j'ai du pique !
Hors ligne
#9 Le 24/08/2007, à 15:47
- NooP
Re : Attaque par .htaccess
Dites ? Votre dotclear est il à jour ?
Peut être quelqu'un à profité d'une faille pour abuser de vos machines !
Si c'est le cas ... Ben, vous avez plus qu'a formatter et à reinstaller avec des versions à jour !
Extrait de la page d'accueil DotClear ...
jeudi 12 juillet 2007
Dotclear 2 beta 7
Il y a des fois où on ne peut plus reculer : Voici une nouvelle béta de Dotclear 2.0. Bien sûr, nous en avons profité pour corriger la faille découverte. Pour le même prix vous y trouverez quelques améliorations visuelles et fonctionnelles dans l'interface d'administration, une procédure d'installation qui gèrera mieux certains hébergements et vous garantira plus d'intimité, une meilleure gestion de l'interface XML-RPC, un meilleur support du SSL côté administration, une gestion séparée des options pour les commentaires et les rétroliens, la résolution de petits bugs qui traînaient et le tant attendu moteur de recherche interne.
Il semblerait que DotClear 1.2 soit touché aussi !
Dernière modification par NooP (Le 24/08/2007, à 16:03)
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#10 Le 24/08/2007, à 15:53
- web09
Re : Attaque par .htaccess
j'ai une version VHCS sur ubuntu , oui je ne me connecte avec un FTP, mais non pas avec des droits sudo .
je suis en train de verifier le dotclear, que je vais desactiver je pense
#11 Le 24/08/2007, à 15:58
- NooP
Re : Attaque par .htaccess
Désasctiver DotClear n'est pas suffisant !
Il faut savoir exactement ce que permet la faille et agir en conséquences.
Peut être elle permet l'installation d'un root kit ou autres bêtes horribles.
En cas de doute, il vaut mieux réinstaller complètement la machine plutot que de continuer avec une machine compromise.
Dernière modification par NooP (Le 24/08/2007, à 15:59)
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#12 Le 24/08/2007, à 16:31
- web09
Re : Attaque par .htaccess
Installer rkhunter et chkrootkit....
faille dotclear ici : http://www.dotclear.net/log/post/2006/06/05/Important-:-faille-de-securite-potentielle-dans-DotClear-12x
bizarre le .htaccess dans /var/www/ inquietant meme
#13 Le 24/08/2007, à 16:39
- xelator
Re : Attaque par .htaccess
gBat a écrit :Sous débian sudo n'existe pas
Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...
xelator@debian:~$ sudo apt-get install dd
Password:
Sorry, user xelator is not allowed to execute '/usr/bin/apt-get install dd' as root on debian.
xelator@debian:~$
pourquoi je ne peux pas ? merci
Hors ligne
#14 Le 24/08/2007, à 16:42
- NooP
Re : Attaque par .htaccess
Moui, le meilleur Anti-RootKit que je connaisse est :
mke2fs
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#15 Le 24/08/2007, à 20:01
- HymnToLife
Re : Attaque par .htaccess
HymnToLife a écrit :gBat a écrit :Sous débian sudo n'existe pas
Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...
xelator@debian:~$ sudo apt-get install dd
Password:
Sorry, user xelator is not allowed to execute '/usr/bin/apt-get install dd' as root on debian.
xelator@debian:~$
Il faut éditer le fichier /etc/sudoers pour te donner les droits.
- Rodrigue, as-tu du cœur ?
- Non, mais j'ai du pique !
Hors ligne
#16 Le 24/08/2007, à 20:04
- xelator
Re : Attaque par .htaccess
merci
Hors ligne
#17 Le 24/08/2007, à 20:37
- madrippeur
Re : Attaque par .htaccess
Si je peux me permettre de m'inscruster dans la conversation
Vhcs2 est une faille à lui tout seul enfin je veux dire qu'il a tout de même pas mal de failles. Avez vous pensé à le sécuriser un minimum comme tout simplement de lui activer le ssh et autres bricole qui le sécurisent un peu ?
(c'est juste pour éventuellement lancer une piste que vous auriez oublié) désolé de m'être incrusté
Hors ligne
#18 Le 25/08/2007, à 00:34
- obcd
Re : Attaque par .htaccess
j'ai eu/ai encore le meme soucis.
j'ai moi aussi un dotclear 1.2.6 qui etait hebergé sur le serveur
et je le soupcone fortement d'etre la cause de cette intrusion.
par contre la compromission a l'air plutot ... forte
Aug 23 19:35:02 srv1 sshd[6307]: Accepted password for root from 205.234.141.155 port 60213 ssh2
apparement l'acces root au ssh a ete reactivé, mais il semblerait qu'a part tous les .htaccess modifiés rien d'autre n'ai ete changé.
a part syslogd qui a ete relancé apres bien sur un nettoyage en regle des historiques ...
en mesure de securité j'ai donc pour le moment restreint mon serveur http aux seuls sites que je sais ne pas etre susceptibles d'etre a l'origine de l'intrusion, changé le pass root, desactivé son acces ssh, changé les mots de passes des utilisateurs ftp/ssh/sql, lancé les différents checker de rootkits qui n'ont rien donné, et demain c'est backup/format/reinstall pour eviter tout probleme eventuel.
Hors ligne
#19 Le 25/08/2007, à 15:41
- Zergy
Re : Attaque par .htaccess
Désactiver l'accés root à SSH en éditant /etc/ssh/sshd_config et en mettant :
PermitRootLogin No
De ce même fichier, ajoutez
AllowGroups ssh
Afin que seul les membres du groupe ssh puissent utiliser SSH
Puis ajoute ton compte et celui de tes amis au groupe SSH avec :
# visudo
Puis ajoute un ligne de type :
nomUtilisateur ALL=(ALL) ALL
Une par compte autorisé à administrer la machine
Ensuite, ajoute ton compte et celui de tes amis au groupe SSH afin qu'ils puissent se connecter via SSH
$ sudo adduser nomUtilisateur ssh
Ensuite, redémarre ssh
$ sudo /etc/init.d/ssh restart
Ne ferme pas la connexion SSH, et essaye d'ouvrir une nouvelle connexion.
Verrouille le compte root :
sudo passwd -l root
Enfin, ouvre le fichier /etc/passwd et vérifie qu'il n'y ait pas de compte autre que root avec l'UID 0, si d'autre comptes avec l'UID 0 existent, supprime-les avec :
$ sudo deluser nomUtilisateur
Et bien sûr, met à jour DotClear, Debian, et supprime les fichiers .htaccess.
Hors ligne
#20 Le 25/08/2007, à 16:10
- pouchat
Re : Attaque par .htaccess
Ben voyons... J'étais sous Debian et j'utilisais sudo dessus que tu ne savais peut-être même pas que Linux existait, enfin passons...
genre, et tu serais pas aussi plus vieux que mon grand-père ?
Tu fais comment, pour devenir root alors, si tu n'utilises pas sudo ? su ou carrément ssh root@ ?
pour devenir root, su simplement.
t'administre un serveur ? si oui, tu fais chaque commande en préfixant sudo ? keuf
faudrait arrêter un peu avec ubuntu et sa spécificité "sudo". Ok sudo est un palliatif pour les débutants qui ont besoin d'exécuter des commandes avec bcp de privilèges et éviter de casser le système. Sorti de là, le compte root est fait pour ça et est profondément encré dans le système. Pas besoin d'aller plus loin.
Hors ligne
#21 Le 25/08/2007, à 16:19
- Zergy
Re : Attaque par .htaccess
faudrait arrêter un peu avec ubuntu et sa spécificité "sudo". Ok sudo est un palliatif pour les débutants qui ont besoin d'exécuter des commandes avec bcp de privilèges et éviter de casser le système. Sorti de là, le compte root est fait pour ça et est profondément encré dans le système. Pas besoin d'aller plus loin.
sudo est une sécurisation supplémentaire puisque qu'on peut avec sudo faire des actions en tant que root même avec le compte root désactivé.
Et si root est désactivé, l'attanquant ne peut savoir qui à les droits de root puisqu'il n'as pas accés à /etc/sudoers.
De plus, meme avec root de désactivé, il suffit qu'un sudoer fasse :
sudo su
pour avoir un prompt root (#)
Pwned
Et oui, j'adminitre mon serveur Debian Etch avec sudo + compte root désactivé.
Dernière modification par Zergy (Le 25/08/2007, à 16:21)
Hors ligne
#22 Le 25/08/2007, à 19:50
- Corpo
Re : Attaque par .htaccess
J'ai eu la même chose depuis la même ip sur mon serveur
Je tourne en Ubuntu 7.04 (upgradé depuis une 5 ...)
J'ai plusieurs Joomla sur le serveur
Mais je n'ai rien trouvé de particulier dans les logs ou quoique ce soit
Juste les Accepted password sur le compte root depuis l'ip 205.234.141.155
7 connections d'affilée, 7 .htaccess posés
Super bot
Alors je ne sais pas par quelle faille ils sont passés, mais ils ont visible récupéré d'une façon ou d'une autre les chemins de tous les sites actifs sur le serveur car j'ai plusieurs sites désactivés sur le serveur, et eux n'ont pas été "infectés" (dans des dossiers où d'autres sites actifs l'ont été ...)
Bref, inquiétant!
J'ai coupé les droits de login a root, en attendant d'en savoir plus ...
#23 Le 25/08/2007, à 21:13
- Zergy
Re : Attaque par .htaccess
Site tu as l'IP de la machine qui faut celà, fait un whois dessus et envoi un courrielà l'adresse d'abus associée.
Celà permetera sans doute de désinfecter une machine zombie.
Hors ligne
#24 Le 25/08/2007, à 22:15
- totche
Re : Attaque par .htaccess
Bonjour
Ou trouver les logs en questions dans /var/log/ mais dans quel fichier?
Merci pour votre aide
#25 Le 26/08/2007, à 11:06
- Zergy
Re : Attaque par .htaccess
Les logs d'Apache sont dans /var/log/apache2/
Hors ligne