plantage de serveur

plantage de serveur - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-12-2004 à 12:56:33    

Bonjour, et joyeux Noël !!!  
 
En guise de cadeau de Noël lorsque je me connecte sur mon site voici le message qui s'affiche :  
 
execve () in y0ur Red Hat Linux release 7.2 (Enigma).  
 
uid=0(root) gid=0(root) groupes=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)  
 
Linux www.monhebergeur.net 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown  
 
QQ1 peut-il me dire ce que cela signifie ?  
Apparement j'ai été hacké car tous mes fichiers html et php ont été écrasés et remplacés par ce message, je ne parviens plus à me connecter non plus à phpadmin... Par contre j'ai accès au ftp !  
 
Merci à tous.  

Reply

Marsh Posté le 25-12-2004 à 12:56:33   

Reply

Marsh Posté le 25-12-2004 à 12:57:57    

execve () in y0ur Red Hat Linux release 7.2 (Enigma).  
 
 
=> Tout est dit. Pas sympa comme cadeau de Noël :/

Reply

Marsh Posté le 25-12-2004 à 13:33:15    

Oui mais encore tu peux m'en dire + sur le problème ?

Reply

Marsh Posté le 25-12-2004 à 13:46:02    

La Red Hat dont ton hébergeur s'est servi pour héberger tes pages possedait une faille.
 
On tombe sur un local root exploit en googlétisant. Si c'est pas indiscret, c'est qui comme hébergeur ?

Reply

Marsh Posté le 25-12-2004 à 13:50:39    

ben je sais pas trop je suis en train de faire refaire mon site par une société qui "travaille" avec un data center de Paris. J'essaie d'en savoir plus mais ils sont pas trop bavard à ce sujet...
J'ai l'impression que tu penses que ce n'est pas très sérieux ?!

Reply

Marsh Posté le 25-12-2004 à 13:56:01    

Bah une Red Hat 7.2 pas patchée avec un kernel 2.4.7 qui date de 2001 ça laisse à désirer quand même... :D

Reply

Marsh Posté le 25-12-2004 à 14:35:06    

Ouais je m'en doutais d'après ce que j'ai pu lire. Ce genre de mise à jour c'est payant? Linux est gratuit non ?

Reply

Marsh Posté le 25-12-2004 à 14:45:27    

Pour Red hat ouais c'est payant, mais si tu payes ton hébergeur c'est pour justement faire ceci, cad entre autre maintenir une distro à jour avec le moins de failles possible :heink:


Message édité par vanilla le 25-12-2004 à 14:46:01
Reply

Marsh Posté le 25-12-2004 à 14:48:10    

Bon là c'est carrément mauvais, il doit avoir des toiles d'araignées dans ses locaux...
Par contre où vois-tu qu'il n'est pas patché dans le descriptif ?
merci pour tes conseils ;)

Reply

Marsh Posté le 25-12-2004 à 15:01:44    

En fait je vois rien du tout, je suis pas root sur la machine, je constate juste que tu payes pour un hébergeur qui ne fait pas son boulot :
- Red Hat 7.2 est dépassé depuis un bon moment
- Le kernel 2.4.7 aussi
- Ya des grosses failles sur la bécanne (d'où le fait que tu te sois fais piraté ce qui était prévisible).
 
Après il peut s'agir effectivement d'une machine oubliée mais j'en doute beaucoup...

Reply

Marsh Posté le 25-12-2004 à 15:01:44   

Reply

Marsh Posté le 25-12-2004 à 15:33:16    

Combien y-t-il eu de versions depuis 7.2 (environ) ?
Ensuite combien ça vaut une licence de ce soft ?
Enfin est-ce que tu penses que c'est le serveur lui même qui est visé ou plutôt la faille du système qui est exploitée ?
Merci

Reply

Marsh Posté le 25-12-2004 à 16:04:41    

Autre question ; ce type d'incident peut-il provenir d'un fichier présent sur le ftp qui serait mal écrit (je pense à du perl par exemple) ???
Est-ce que ce type de fichier est capable de mettre un serveur HS ?


Message édité par dexenium le 25-12-2004 à 16:05:41
Reply

Marsh Posté le 25-12-2004 à 16:27:17    

dexenium a écrit :

Combien y-t-il eu de versions depuis 7.2 (environ) ?
Ensuite combien ça vaut une licence de ce soft ?
Enfin est-ce que tu penses que c'est le serveur lui même qui est visé ou plutôt la faille du système qui est exploitée ?
Merci


 
Après la 7.2 il y a eu la 7.3, la 8.0 et enfin la 9. Red Hat a ensuite changé de schéma. Si mes souvenirs sont bons, il y a la version Red Hat Entreprise et il y a Fedora, une version de red hat fait par la communauté (on est déjà à la rc 3).
 
Combien vaut la licence ? Alors ça j'en sais rien, je sais juste que Fedora est libre et que Red Hat Entreprise doit être payant (à cause du support). Mais je ne m'avance pas car j'en sais vraiment pas grand chose.
 
Sur ton serveur, il y a un système, en l'occurrence Red Hat. Ce qui était visé ?  Rien de spécial, le mec est tombé sur un système pas à jour, il a trouvé un exploit et il t'as piraté. Rien de plus.
 
Ça aurait pu venir d'une faille php mais à en croire le mec, c'est bien une faille kernel due à execve(). On trouve des bulletins d'alertes qui ont l'air de correspondre.
 
http://www.securityfocus.com/bid/8042
http://secunia.com/advisories/9154/
 
Maintenant, je dis ça, je dis rien, on peut pas se fier au mec qui t'as piraté ;) faudrait avoir un accès direct pour voir exactement ce qui s'est passé.


Message édité par vanilla le 25-12-2004 à 16:29:06
Reply

Marsh Posté le 25-12-2004 à 17:43:50    

D'après ce que j'ai pu lire "Le noyau (kernel) de Linux présente une faille qui permet à un utilisateur local d'obtenir tous les privilèges. Une exploitation à distance de cette faille n'est pas possible"
Je ne comprends pas ! Cela veut-il dire que le hacker doit être sur le réseau des machines ?

Reply

Marsh Posté le 25-12-2004 à 17:47:15    

Vu depuis combien de temps la redhat 7.2 n'esyt plus mise à jour, il a du utiliser un autre exploit (execution remote) pour arriver à executer celui-ci :o


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 25-12-2004 à 17:48:03    

et dire que là où je bossais, ils utilisent toujours une redhat 7.1 avec le kernel d'origine pour une 20aine de sites web ...
 
s'ils se font hacker, ça va faire mal ...


---------------
C'est quand on a le nez dans la tomate qu'on voit mieux la tomate !
Reply

Marsh Posté le 25-12-2004 à 17:55:41    

dexenium a écrit :

D'après ce que j'ai pu lire "Le noyau (kernel) de Linux présente une faille qui permet à un utilisateur local d'obtenir tous les privilèges. Une exploitation à distance de cette faille n'est pas possible"
Je ne comprends pas ! Cela veut-il dire que le hacker doit être sur le réseau des machines ?


Ça veut dire qu'il a attaqué localement et donc qu'il a d'abord eu un shell sur le système.
 
Mais avoir un shell sur un sytème c'est pas difficile vu la machine que c'est...

Reply

Marsh Posté le 25-12-2004 à 17:56:36    

Pizz a écrit :

et dire que là où je bossais, ils utilisent toujours une redhat 7.1 avec le kernel d'origine pour une 20aine de sites web ...
 
s'ils se font hacker, ça va faire mal ...


 
C'est quoi le nom de la boîte ? :D


Message édité par vanilla le 25-12-2004 à 17:56:46
Reply

Marsh Posté le 25-12-2004 à 18:15:23    

Vanilla, aurais tu un hebergeur digne de ce nom pour mon site. Avant j'étais chez OVH mais ils ont menacé de fermer le site à cause d'un trop grand nombre de connexions. On m'a conseillé de passer sur du dédié mais je n'y connais rien à l'admin d'un serveur... Faut-il en passer par là ? MOn site fait +ou- 200 mo + des videos sur ftp2.
J'ai un traffic de 2000 à 4000 visiteurs par jour.
:)

Reply

Marsh Posté le 25-12-2004 à 18:24:51    

Autre chose quelle raison valable un hebergeur peut ne pas évoluer vers un version plus récente d'un soft (oui je sais c'est débile comme question :/) pas d'argent, pas la compétence, pas techniquement possible... Est ce que les versions actuelles de red hat ont une réelle différence avec le 7.2 (c'est du style windows 95 vs windows XP)?

Reply

Marsh Posté le 25-12-2004 à 18:26:21    

dexenium a écrit :

Autre chose quelle raison valable un hebergeur peut ne pas évoluer vers un version plus récente d'un soft


 
Parcequ'ils ont du développement en interne (système de centralisation par exemple) qui n'est compatible qu'avec cette version là de redhat [:spamafote]
 


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 25-12-2004 à 18:32:11    

Mmmm... là je n'y crois pas trop : mon site est planté et apparement il n'y a personne pour "réparer"... Tu as un gars au téléphone qui te dit "ben ouais c'est planté mais nous on peut rien faire, il faut venir réinstaller l'application vous même !"
 C'est pas un peu bidon ça ? :heink:  
Il parait que dans les data center c'est comme ça...


Message édité par dexenium le 25-12-2004 à 18:33:33
Reply

Marsh Posté le 25-12-2004 à 18:38:05    

dexenium a écrit :

Autre chose quelle raison valable un hebergeur peut ne pas évoluer vers un version plus récente d'un soft (oui je sais c'est débile comme question :/) pas d'argent, pas la compétence, pas techniquement possible... Est ce que les versions actuelles de red hat ont une réelle différence avec le 7.2 (c'est du style windows 95 vs windows XP)?


 
J'en sais rien, je ne suis encore qu'un pauvre étudiant donc je ne bosse ni dans l'admin réseau ni dans une boite d'hébergement, je peux pas te dire comment ça marche exactement ! Flemme, admin incompétent, pb financier ou technique, ouais tout ça c'est possible, ça doit être ce genre de raison, en tout cas c'est sûrement pas volontaire...
 
Sinonquand même ouais, faut voir l'évolution du kernel et des logiciels libres en 2-3 ans. Ça bouge beaucoup... Bcp de (graves) failles ont été découvertes et corrigées depuis.
 
Je n'ai pas d'hébergeur à te conseiller mais renseigne toi avant sur quel système ton serveur tourne. En général si tu prends des trucs assez connus, ya pas trop de problèmes (enfin je crois ;)).


Message édité par vanilla le 25-12-2004 à 18:38:29
Reply

Marsh Posté le 25-12-2004 à 18:43:22    

dexenium a écrit :

Mmmm... là je n'y crois pas trop : mon site est planté et apparement il n'y a personne pour "réparer"... Tu as un gars au téléphone qui te dit "ben ouais c'est planté mais nous on peut rien faire, il faut venir réinstaller l'application vous même !"
 C'est pas un peu bidon ça ? :heink:  
Il parait que dans les data center c'est comme ça...


 
Putain mais c'est quoi ton hébergeur ? C'est du foutage de gueule là. Je sais pas combien tu payes ton hébergement et ta formule d'hébergement (serveur dédié, bande passante, support) mais c'est pas vraiment logique !
 
C'est d'autant plus bidon que généralement seuls les admins ont accès au data center  :heink:  
 
J'imagine bien la file de client devant le data center pour aller réinstaller son système qu'a planté  :lol:


Message édité par vanilla le 25-12-2004 à 18:44:22
Reply

Marsh Posté le 25-12-2004 à 18:47:27    

Bah pour l'instant je paye rien... C'est un deal pendant qu'ils me font le site. Mais t'as raison, s'ils me proposent un hébergement pourri je me fous d'avoir un beau site s'il ne marche pas !!!

Reply

Marsh Posté le 25-12-2004 à 18:51:27    

Ah ouais mais si c'est un espèce de deal entre toi et un mec de l'hébergement, qu'il n'y a pas vraiment de contrat et tout ça... On peut rien pour toi !
 
Ce que je veux dire c'est que si tu payes pas, le mec il s'en tape, il va pas te mettre ton site sur un serveur didié sécurisé aussi... Faut savoir ce qu'on veut !

Reply

Marsh Posté le 25-12-2004 à 18:55:26    

Ok mais s'il est un peu malin il va se bouger pour que tout rentre dans l'ordre et que je lui fasse un gros chèque pour le site. Mais c'est vrai que pour le moment il est mal parti...

Reply

Marsh Posté le 25-12-2004 à 18:57:42    

Ouais puis c'est surtout pas très malin de laisser une machine rootée sur son réseau :heink:
 
Enfin perso j'aurais du mal à dormir :D

Reply

Marsh Posté le 25-12-2004 à 19:07:22    

vanilla a écrit :

Ouais puis c'est surtout pas très malin de laisser une machine rootée sur son réseau :heink:
 
Enfin perso j'aurais du mal à dormir :D


 
Ouais ça la fout mal qd même... [:abnocte invictus]  

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed