Je n'ai pas acces physiquement au serveur mais j'ai pu me connecter via un live cd (netboot) puis j'ai chrooté mon systeme.
Je voudrais re-installer tous mes paquets un par un mais plusieurs utilitaires sytemes generent des segmentations fault (apt et chmod par ex).
 
Quelqu'un a t'il une idéee, autre que re-installer la distrib, pour me sortir de la?
 
Merci d'avance,
Gilles.

On vas commencer par les bases: peut-on avoir plus d'infos?

Oui bien sur, mais que veux comme info?

Tout, quand c'est arrrive, les manips faites, ce qui se passe et tout et plus encore.

Le serveur:
Debian Etch avec apache openssh-server pure-ftp mysql + un iptables que je croyais bien parametré (j'avais a tors laissé ssh accessible de partout)
 
Les applications hebergé:
Un site web sous joomla  
 
Les symptomes:
Des segmentations faullt dès que je fais un apt
Le serveur ssh ne fonctionne plus
 
Analyse rapide:
Il y a eu 2 nouveau users de créés avec un Id 0  
 
Pour le moment je n'en sais pas plus; je ne sais pas trop ou regarder non plus.
 

Tu peux encore avoir un acces en root? Si oui, tu dois pouvoir retablire l'ordre ans problemes

Oui j'ai fait redemarré le serveur en netboot (equivalent a un live cd), je me suis connecté en ssh puis j'ai chrooté mon systeme; j'ai meme redemarré apache et mysql pour faire tourner le site actuelement hebergé.

bah alors tu peux supprimer les comptes, desactiver la connection ssh par root ( ca devrais etre fait par defaut ) et fixer le systeme, mais je ne peux pas te dire comment, je n'ai jamais utilise debian

Mouais, justement ma question c'est comment fixer ma distrib debian???

Vu qu'apparemment le compte root a ete compromis, le seul moyen d'etre tranquille c'est une reinstall complete, si tu ne le fais pas tu cours le risque de devoir recommencer dans pas longtemps car l'attaquant aura trouve moyen de garder son acces...

Je ne peux pas re-installer ma distrib tout de suite, j'ai besoin de qqes jours et je voudrais stabiliser mon systeme en attendant.

à ta place je réinstallerai direct. Machine compromise = danger. De plus il faut pouvoir faire une analyse post-intrustion (forensics), pour publier le code utilisé, la faille qui a été employée et que ca ne puisse plus se reproduire.
Par exemple http://www.securityfocus.com/infocus/1769 et ca http://blog.gnist.org/article.php? [...] ayCracking
SInon tu cherche linux forensics analysis sur ggl et ca le fait.

c'est marqué :> Je ne peux pas re-installer ma distrib  
 
Bonjour,
 
Sauf si tu avais un mot de passe "en mousse", cela ne viens pas de ssh.
Pour ma part je connais pas deb, mais je peux te conseillé afin que cela ne se reproduise, minimisé.
Le probleme viens, dumoins il y a beaucoup plus de chance de joomla.
on trouve beaucoup d' expls fonctionnel pr joomla, aussi pour ssh, mais généralement pas pour de la current ou latest.
 
Have Fun

 
Merci pour les liens, très instructifs

Erreur monumentale. Si ton truc est compromis, il te faut immédiatement:
- arrêter le réseau
- voire arrêter la machine
- sauvegarder les données
 
 
Sans quoi si tu continues ton exploitation comme ça, il peut se passer plein de choses comme:
- suppression/corruption de tes données
- vol de tes données
- utilisation de ton serveur à ton encontre (zombie, proxy anonyme, etc)

Hier je suis tombé par hasard sur ce topic, c'est exactement ce que je voulais répondre quand je me suis rendu compte qu'il datait du 23/12...
 
Bref il n'y a plus qu'à espérer pour l'auteur qu'il aura eu les bons réflexes en basculant temporairement les services vers un autre serveur pendant la mise hors servive, l"analyse et la réinstallation / remise en route de la machine corrompue. Sans quoi j'imagine qu'il a pu avoir encore d'autres mauvaises surprises.

Style les flics qui debarquent le 24 soir

On ne rétablie pas l'ordre sur une machine piratée, on formate, on réinstalle, et on repars sur une base saine (et on essaye de ne pas reproduire ses erreurs passées)

Ou on la mets de coté pour l'analyser si on a les moyens de s'en passer

et dans le meilleur des cas il faut mettre la machine hors ligne sans l'éteindre pour analyser la corruption de la mémoire, les connections actives, les process lancés, etc...
Il existe d'ailleurs des sites pour les "0-day" c'est à dire les failles de sécu récentes.
A suivre bien sûr quand on administre  

Les 2 liens que tu as mis plus haut l'expliquent d'ailleurs super bien ... Je les ai lu et vraiment ... C'est hyper intéressant .. Moi quand ça marche pas  j'ai encore un peu le réflex windows : On reboot jusqu'à ce que ça marche

 
de rien