vient de se faire hacker…
Si ton job, c’est spécialiste de la sécurité (linux, debian) et que tu sais diagnostiquer une machine qui vient de se faire hacker, laisse un petit message ici.
vient de se faire hacker…
Si ton job, c’est spécialiste de la sécurité (linux, debian) et que tu sais diagnostiquer une machine qui vient de se faire hacker, laisse un petit message ici.
c’est payé combien ?
heu plus de précision ???
tu sais ce qui a été fait sur la machine ?
tu as checké avec les scanneurs de port online ? (pas ultime mais ça donne deja une idée)
Le specialiste te dira, que tout ce que tu peux en sortir c’est a la limite comment le mec est rentre et qu’apres la seule chose 100% sure c’est de reformater tout et reinstaller.
Visiblement c’est une faille awstats qui a été utilisée. C’est une machine qui est en production qui fait tourner une solution LAMP. C’est pas une histoire de port ouvert, c’est une faille d’un logiciel qui a été utilisée.
[edit] bah de toute facon on veut savoir comment il est rentré, le format est déjà planifié. On veut juste savoir par quelle faille il est rentré histoire de savoir s’il a eu accès a d’autres machines que le frontal.
oki.
je ne suis pas un spécialiste hein, ce que j’ai trouvé sur Google:
dernière version de Awstats sur le site officiel: 6.3
dernière version disponible selon les forums de dev et autres: 6.4
Apparemment cette recherche renvoie pas mal de failles…
Tes log apache devraient te permettre de trouver ce qui a été fait récemment et donc d’isoler la faille en question.
Ce n’est probablement ni rapide ni flagrant… mais en attendant de trouver qqun ça peut t’avancer
Si tu sais par ou il est entre, tu vas sur le site de awstats pour voir quels consequences ca a.
S’il passe par apache, ca veut dire que si ton serveur est bien configurer, il peut avoir les droit que de www-data, que tu dois avoir limite au maximum:
[quote]Warning, a security hole was recently found in AWStats versions from 5.0 to 6.2 when AWStats is used as a CGI: A remote user can execute arbitrary commands on your server using permissions of your web server user (in most cases user « nobody »).
If you use AWStats with another version or is not available as a CGI, you are safe. If not, it is highly recommanded to upgrade to 6.4 version that fix this security hole and another less important one still present in 6.3.[/quote]
Blam. Ca sent le CGI configure avec les pieds, ca.
Ton admin est le maillon faible
En meme temps, utiliser des soft CGI de nos jours sans avoir une TRES BONNE connaissance des risques de securites, c’est suicidaire. Perso, je prefere eviter au maximum le CGI.
Si ta machine est a jour niveau systeme, il devrait pas y avoir de soucis, puisque normalement, le pirate a pas pu aller plus loin que l’utilisateur www-data.
LoneWolf
Les CGI, ca pue du cul
Effectivement il est pas allé plus loin que www-data. Et nous a juste installé un beau bot irc. Un zombie de plus pendant une semaine ca va ca aurait pu être pire.