qqun peut m'expliquer ca ?
 

 
je flippe un max, paskils ont rien cassé apparement, mais heu pas envie de laisser des trous  

c t kwa ton serveur, ou , et qui faisait quoi ?

smon serveur web a la fac, ss mandrake 9
 
normalement mis a jour régulièrement mais bon
 
je pense a une feinte par pro ftp (si c ca spa hyper grave) mais si je me suis fait feinter par ssh spa cool  

 
Une Mandrake sur un server, jamais tu ne mettras.

bha non mon serveur Mdk 7.1-> 9.0 n'a jamais eu de prob de piratage... firewall + logiciels et services updatés régulièrement + services chrootés.
 
tu avais quoi comme service lancé ??
ça tombe, tu avais apache+php et du code php qui fait qu'en moins de 30sec tu prends le contôle du serveur...

c pas pire kune suse... (ki a dit ke vendredi ct hier ?)  

 
hein ?
bah j'avais php mysql, webmin et samba

bon, je formatte, j'en profite pour foutre la mdk 9.1 tant ka faire, des conseils pour sécure le truc ?

 
ouais
 
reformater, et foutre une debian...

g trouvé personne pour m'aider  

 
C pas dure bordail ! c une legende urbaine de dire que c compliker   !  

bah j'ai déja installé une deb, sté vraiment le foutoir pour les trucs de base alors pour bien peaufiner le merdier j'en aurais eu pour 1 ans tout seul    
 
je suis pas contre, j'ai vu c vraiment plus net comme systeme mais j'ai pas encore le power pour connaitre tous les fichiers de conf, scusi
 
quoique la slaxk m'avais encore plus séduit en fait, mais pas de syst de paquetages comme apt ou urpmi ca me faisait chier de compiler les machines a chaque fois

faire attention avec le ftp + http
 
si tu as des comptes en upload comme par exemple "anonymous" etq ue ton serveur http partage ces répertoires d'upload, c'est assez facile de prendre la main sur la machine... du genre le gars upload un script php, il repère un peu comment c'est rangé, il pointe ensuite son browser sur le bon chemin, voilà, ni vu ni connu...
 
ça peut très bien arrivé si tu ne fais pas attention aux droits, je te conseillerais plutôt de mettre pure-ftp, d'aplliquer les règles "anti-warez" qui font que les fichiers doivent être validés par l'admin (ou par un script éxécuté par cron par exemple), puis éviter de partager les répertoires ftp avec droit en écriture avec le serveur http
 
je pense que le gars s'en ai donné à coeur joie avec ptrace si ton noyau n'était pas patché, avec un compte apache, nobody, ... tu peux facilement chopper les droits root
 
edit : ne pas mettre de shell pour les comptes systèmes fait aussi partie d'une bonne sécurité
 
edit 2 : faites attention aussi, celui qui arrive à rentrer sur votre passerelle/serveur comme pour bitman, peut très bien chopper les info de votre connexion internet, c'est simple une fois les droits root obtenus, si tu vois que tu as des soucis avec ta connexion, demande à ton FAI de te redonner un autre identifiant/mot de passe, parce qu'il n'y a pas que des crashers, il y a des hackers qui font juste ça comme ça pour montrer la vulnérabilté puis qui s'en vont en laissant juste un p'tit mot, et d'autre qui vont chercher des informations personnelles sur la machine qu'ils pourront exploiter e,nsuite ou se faire un p'tit accès pour venir quand ils veulent sur la machine

c'est nul ce genre de réflexion "ma distro est meilleure que la tienne...".    
C'est la façon dont tu l'administres qui compte !

 
 
interessant tt ca
 
en fait sur ma machine (a la fac, pas chez moi donc yavais rien de perso qui trainait) yavais juste le ftp qui me permettais d'uploader mes sites, mais il a du bousiller des trucs car je pouvais plus me logger en user, et comme mon install ne permettais pas le log en root ben DMC
 
bon de tte faonc la g formatté, jvais voir avec la secu max ske ca donne

Bon pareil je connais quelqu'un qui s'est fait hacker sa mandrake sur netissimo1 (mais le w4rl0rd de service a été moins gentil il lui a effacé tout le disque dur), mais le truc c'est que ca aurait été pareil avec n'importe quelle distribution, suse, debian, gentoo, redhat, *bsd.
 
C'est simple: il a installé samba pour apprendre comment ça marchait, mais
 - il n'a pas restreint l'interface sur lequel samba ecoute à celle de son réseau local
 - il n'avait pas de firewall
 - il n'avait pas installé les mises à jour de sécu
 
Mandrake n'est pas 'h4ck4ble les d01gts d4ns le n3z s'trop izi' et debian 'r0l4l4 s'trop dur j'arr1ve p4s à la h4cker', c'est juste à la personne qui administre la machine de faire son boulot et de respecter un minimum de règles. D'ailleurs c'est exactement pareil pour les machines windows avec codered slammer &co

chroot tes services :
http://linuxfocus.mirror.or.kr/Fra [...] e225.shtml
chroot d'apache : http://penguin.epfl.ch/chroot.html
 
au lieu du pgm chroot utilise uchroot (http://www.carcosa.net/jason/software/utilities/uchroot/)
il permet de chrooté sous un autre utilisateur que celui qui lance le démon (root)

ca a l'air complexe mais jvais etudier ca
 
la j'ai reinstall avec iptable et prélude, mais c chelou la config du machin  

Tu avais bien tout mis à jour, y compris le kernel ? Le kernel ne se met pas à jour automatiquement, il faut utiliser urpmi kernel.

et ya eu un enorme trou de securité dans webmin et ssh recemment non ?  (enfin 2 mois quoi)

 
bof, prelude une fois que le gars est rentré, il est rentré hein
 
c'est bien pour une boîte mais finalement pour une utilisation perso, à part se faire remplir sa bdd par du nimda et dire "ah ben merde alors, c'est pas son IP, c'est un proxy"... le bon truc à mettre c'est iptables bien configuré, les bons droits sur des services bien épurés, le moins d'utilisateurs possible avec un compte accessible, un noyau stable, ... tu peux aussi laisser quelques ports ouverts sans rien dessus et installer portsentry avec des règles strictes, du grenre quelqu'un te scan 2 ports privilégiés à suivre dans un laps de temps, zou y se mange un drop sur son ip et t'en entends plus parler, en y ajoutant le refus aux réponses de ping en bloquant avec iptables les icmp que tu n'as pas toi-même envoyé...

 
Oui :
http://www.mandrakesecure.net/en/a [...] A-2003:025
 
la liste pour 9.0 :
http://www.mandrakesecure.net/en/a [...] hp?dis=9.0
 
Mandrake fait un très beau boulot pour maintenir les paquets a jour, ici :
http://www.mandrakesecure.com
 
-> toutes les alertes, mises-à-jour sont référencées, et il y a 5 mailing lists pour être averti.

d'ailleurs sur webmin.com ils ont viré l'avertissement, ils disaient qu'une mise à jour en 1.070 était très fortement conseillée

drapal
 
je propose k on fasse de ce post le Topic Unik sur la securisation des passerelles, nan  
 
genre un bon gros resume des choses a faire et ne pas faire pour avoir une passerelle secure
 
je peux creer un autre topic si vous voulez
 
voilou
 
EDIT : j ai cree un topic unik en fait
 
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

 
vasy , moi ca m'interresse en tout cas

aye c cree et en construction surtout

 
au faite , moi j'ai pas trop compris ce qu'il c'est passé , tu peux m'expliquer steuplé zzozo ?

 
Voilà enfin  chose auquel je peux répondre  
Déjà, je te conseille de mettre un firewall entre ton serveur et le net... De plus sur ce firewall (qui n'a pas du tout besoin d'etre un bete de course) je conseille d'installer snort qui est l'IDS le mieux que j'ai pu rencontrer jusque là... Un IDS n'est pas un firewall mais un système de détection d'intrusion. Sa base est la plus à jour, même les IDS materiel de CA n'ont pas toutes ses signatures (à la plus grande surprise de tout le monde)
Ensuite, une fois snort et iptable ou ipfilter de configuré, tu peux t'occuper de ton serveur... Aux conseilles de BMOTheKiller tu peux rajouter quelque chose de très important, déporter les       logs (cf la doc de syslog) sur une autre station !!! Il sera plus difficle pour des visiteurs de hacker une autre machine pour effacer leurs traces, et toi tu auras plus de chance d'avoir de quoi retrouver les traces de ces intrus.
De plus comme conseillé plus haut, il est PRIMORDIAL de chrooté tous les process qui ont accès au net... C'est le minimum... Ce n'est pas si compliqué que cela parait, il faut juste lire la doc et ça passe comme papa dans maman    
Après il y'a quelques petites choses interessantes que tu peux mettre, comme portsentry, changer les bannières de façon à ne donner aucun renseignement sur le type de machine du serveur, changer la signature du noyau etc... Bcp de doc existe sur le net, mais il faut être anglophone pour avoir les docs les plus intéressantes...
 
Je te conseille le formatage complet de la machine qui a été compromise mais en plus, un examen très très très appronfondie des stations et/ou autres serveurs qui était accessible via ton serveur compromis... Et il faut faire vite, le temps est contre toi ! Bonne chance...

Pas compris quoi ? Comment il s'est fait "hacker" (j'aime pas ce terme ... )
Cé très souvent le même scénario ...
les "crackers" (de belin ... ) essayent plusieurs "recettes" connues pour compromettre un des services présents sur la machine en question afin de "réaliser" une élévation de privilèges (c'est plus ou moins rapide suivant les failles rencontrées) et prendre controle (totalement ou partiellement, mé cé plus rare) de la machine en question ...
Mais bon, de mon expérience, quand y'a PHP (cé la même chose pour ASP d'ailleurs ...) dans les parages, faut faire super gaffe au code des scripts, notamment aux includes à la con ... Le pb cé qu'avec des outils comme PHPNuke & co, qui sont de plus en plus répandus et ne nécessitent pas d'avoir une bonne compréhension de PHP (et de sa pratique "propre" ), on se retrouve avec bcp plus de serveurs vulnérables, qu'ils sont répandus, et que ce sont devenus de vraies "usines à gaz" en terme de lignes de codes (cé pas la faute de leurs auteurs, cé statistique, plus t'as de lignes de codes dans un logiciel, plus t'as de chances d'avoir des bugs ... cé un des principes du Génie Logiciel ... ) ... je serais curieux de connaitre le nombre de forums en PHP/ASP qui se sont faits "pénétrer" ( ) sur le nombre total de sites pénétrés ...

interesting, mais spa un pc perso, c'est un pc a la fac, sur une grosse ligne en plus, donc en direct sur le net et pas filtré  
 
vu que je pouvais plus me logger dessus, j'ai tout formatté de tte facon c plus sur je sais pas skils ont fait ces cons, jvais matter un peu mon serveur win2k a coté paske j'avais des montages samba dessus, juste pour voir (j'y avais pas pensé)
 
la je suis chez moi, bloqué comme un con pask avec le noyau secure + iptable (+prélude) j'arrive a acceder a queud (meme ssh m'envoie chier, j'ai du oublier un truc), c con j avais pris l'habitude de tout faire par webmin, trop pratique ce truc et j'avais TOUT mis a jour récement    
 
enfin bon g recup mes sites et mon forum, donc pas de grosse perte en fait
 
mais c flippant de devoir se plonger comme ca dans la securisation, quel interet de hacker mon putain de serveur vous pouvez m'expliquer hein ?  

 
Ah !! la jeunesse d'ajourd'hui....  

tiens tiens :
 

 
sur http://www.delta5.com.br/mirror/in [...] 4&ano=2003
 
vous les connaissez ces gugus ?  

Cé trop bonheur como dirait Chico ...
 

 
Ah ah ah !!!!!!        les administrateurs des facs, Ils me feront toujours rire.. spécial dédicace à celui de Rouen dans les années 96-97-98  

CAI PAS DRAULE !!!
 
nb : je suis étudiant (et pas en info) pas admin de la fac hein !
 
si des cons pénètrent   mon serveur pour aller foutre le dawa en interne sur les pc de la fac chuis dans le caca version XXL    
 
putain jme fais chier j'aurais bien tripatouillé un peu la config cette nuit, mais j'ai plus aucun accès, g trop sécurisé le merdier
 
faudrais peut etre que je hacke mon serveur ?  

excellent    
c'est marrant :  
- il y en a bcp spécialisés dans les attaques php-nuke... c'est pas fiables comme système ??    
- d'autres aiment bien certains fournisseurs.
...

Tu devrais peut être faire appel à la Delta 5 Team ...    

cai fini oui, on est pas vendredi !