J'ai été hacker, help
Fermé
londuba
Messages postés
89
Date d'inscription
mercredi 30 novembre 2005
Statut
Membre
Dernière intervention
25 octobre 2011
-
12 juin 2006 à 12:50
[Dal] Messages postés 6062 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 24 mars 2023 - 21 juin 2006 à 18:58
[Dal] Messages postés 6062 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 24 mars 2023 - 21 juin 2006 à 18:58
A voir également:
- J'ai été hacker, help
- Dans le texte, un seul mot a réellement été écrit en lettres capitales (majuscules). quel est ce mot ? ✓ - Forum Word
- Aucune application permettant d'ouvrir ce lien n'a été trouvée ✓ - Forum Wiko
- Mon compte facebook a été piraté - Guide
- Cette photo n’a pas été prise cette année. trouvez la date, l'heure et avec quel modèle d'appareil photo elle a été prise. ✓ - Forum Graphisme
- Votre iphone a ete pirate ✓ - Forum iPhone
8 réponses
londuba
Messages postés
89
Date d'inscription
mercredi 30 novembre 2005
Statut
Membre
Dernière intervention
25 octobre 2011
11
15 juin 2006 à 12:00
15 juin 2006 à 12:00
Bonjour c'est exactement comme vous l'avez dit, j'ai bien été hacker. Mais Dal tu peux donné s'il te plait ton artillerie lourde afin que je me protege le plus vite possible. Le pirate télécharge toujours ce fichier : flood.tar.gz sur mon serveur dans /tmp à chaque fois que le suprime il le télécharge encore, voici ce qu'il y'a dans error_log
je suprime le fichier flood.tar.gz dans <gras>/tmp et encore toujours dans error_log
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
--16:05:40-- http://trg.uv.ro/flood.tar.gz
=> `flood.tar.gz.1'
Resolving trg.uv.ro... 64.111.196.20
Connecting to trg.uv.ro[64.111.196.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 350,063 [application/x-gzip]
0K .......... .......... .......... .......... .......... 14% 118.60 KB/s
50K .......... .......... .......... .......... .......... 29% 472.41 KB/s
100K .......... .......... .......... .......... .......... 43% 2.75 MB/s
150K .......... .......... .......... .......... .......... 58% 451.98 KB/s
200K .......... .......... .......... .......... .......... 73% 622.23 KB/s
250K .......... .......... .......... .......... .......... 87% 830.15 KB/s
300K .......... .......... .......... .......... . 100% 618.52 KB/s
16:05:41 (395.63 KB/s) - `flood.tar.gz.1' saved [350,063/350,063]
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command
</gras> je viens de le supprimé ce matin encore.
Il n'ya t-il pas un moyen de le bloquer pour empeché cela et comment il arrive à mettre ce fichier sur mon serveur à distance, je pense qu'il se connecte à partir d'un notre site. Vraimen aidé moi, pour l'instant tous les services marchent sur le serveur, c'est vraiment pas le moment pour moi de réinstaller le serveur. HELP PLEASE
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1 --16:04:46-- http://trg.uv.ro/flood.tar.gz => `flood.tar.gz' Resolving trg.uv.ro... 64.111.196.20 Connecting to trg.uv.ro[64.111.196.20]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 350,063 [application/x-gzip] 0K .......... .......... .......... .......... .......... 14% 118.50 KB/s 50K .......... .......... .......... .......... .......... 29% 241.17 KB/s 100K .......... .......... .......... .......... .......... 43% 474.55 KB/s 150K .......... .......... .......... .......... .......... 58% 1.91 MB/s 200K .......... .......... .......... .......... .......... 73% 522.83 KB/s 250K .......... .......... .......... .......... .......... 87% 693.46 KB/s 300K .......... .......... .......... .......... . 100% 337.07 KB/s 16:04:47 (324.91 KB/s) - `flood.tar.gz' saved [350,063/350,063] [client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
je suprime le fichier flood.tar.gz dans <gras>/tmp et encore toujours dans error_log
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
--16:05:40-- http://trg.uv.ro/flood.tar.gz
=> `flood.tar.gz.1'
Resolving trg.uv.ro... 64.111.196.20
Connecting to trg.uv.ro[64.111.196.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 350,063 [application/x-gzip]
0K .......... .......... .......... .......... .......... 14% 118.60 KB/s
50K .......... .......... .......... .......... .......... 29% 472.41 KB/s
100K .......... .......... .......... .......... .......... 43% 2.75 MB/s
150K .......... .......... .......... .......... .......... 58% 451.98 KB/s
200K .......... .......... .......... .......... .......... 73% 622.23 KB/s
250K .......... .......... .......... .......... .......... 87% 830.15 KB/s
300K .......... .......... .......... .......... . 100% 618.52 KB/s
16:05:41 (395.63 KB/s) - `flood.tar.gz.1' saved [350,063/350,063]
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command
</gras> je viens de le supprimé ce matin encore.
Il n'ya t-il pas un moyen de le bloquer pour empeché cela et comment il arrive à mettre ce fichier sur mon serveur à distance, je pense qu'il se connecte à partir d'un notre site. Vraimen aidé moi, pour l'instant tous les services marchent sur le serveur, c'est vraiment pas le moment pour moi de réinstaller le serveur. HELP PLEASE
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
12 juin 2006 à 15:06
12 juin 2006 à 15:06
Salut,
Une partie de ce que disent tes logs ressemblent à ce que dit ce bulletin du CERT :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2006/certmsgSTAT010
As-tu un script "les visiteurs" de statistiques de fréquentation ? Il est bogué et permet l'exécution de commandes PHP arbitraires. Un patch non officiel est mentionné ici https://securitytracker.com/id/1008011 mais l'URL où le patch est sensé être n'existe plus.
Il est plus sûr de désinstaller ce script.
Par ailleurs, tu as intérêt à déconnecter tout de suite ta machine jusqu'à ce que tu saches ce qu'à réussi à faire ton visiteur (et à la déconnecter du réseau si elle est raccordée à un réseau interne).
Pour chacun de ces fichiers, fait un file <nomfichier> pour voir et ce à quoi on a affaire et, si ce sont des fichiers ASCII, less <nomfichier>.
Ce sont probablement des scripts (pour certains d'entre eux). Ne les exécute pas.
Utilise aussi last pour voir quelles sont les dernières connexions au shell et who juste avant de te déconnecter pour savoir qui est connecté, ainsi qu'un netstat -na et cherche les entrée LISTEN et ESTABLISHED. Si ton firewall produit des logs, tu peux y jeter un oeil aussi.
Dal
Une partie de ce que disent tes logs ressemblent à ce que dit ce bulletin du CERT :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2006/certmsgSTAT010
As-tu un script "les visiteurs" de statistiques de fréquentation ? Il est bogué et permet l'exécution de commandes PHP arbitraires. Un patch non officiel est mentionné ici https://securitytracker.com/id/1008011 mais l'URL où le patch est sensé être n'existe plus.
Il est plus sûr de désinstaller ce script.
Par ailleurs, tu as intérêt à déconnecter tout de suite ta machine jusqu'à ce que tu saches ce qu'à réussi à faire ton visiteur (et à la déconnecter du réseau si elle est raccordée à un réseau interne).
Pour chacun de ces fichiers, fait un file <nomfichier> pour voir et ce à quoi on a affaire et, si ce sont des fichiers ASCII, less <nomfichier>.
Ce sont probablement des scripts (pour certains d'entre eux). Ne les exécute pas.
Utilise aussi last pour voir quelles sont les dernières connexions au shell et who juste avant de te déconnecter pour savoir qui est connecté, ainsi qu'un netstat -na et cherche les entrée LISTEN et ESTABLISHED. Si ton firewall produit des logs, tu peux y jeter un oeil aussi.
Dal
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
12 juin 2006 à 15:44
12 juin 2006 à 15:44
Si ce ne sont pas des fichiers de texte ASCII, mais des fichiers binaires (éventuellement des exécutables) fait un strings <nomfichier> dessus pour essayer de voir s'ils "parlent".
Dal
Dal
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
12 juin 2006 à 15:27
12 juin 2006 à 15:27
Tu as aussi d'autres conseils intéressants là :
http://lea-linux.org/pho/read/1/294802
dont d'autres commandes de diagnostic, différents programmes de vérification de l'existence de rootkits, et un conseil consistant à utiliser des commandes compilées sur un autre système enregistrées sur CDROM non réinscriptible.
... si ton système est compromis, les commandes standard peuvent être de fausses commandes agravant ta situation .. surtout lancées sous root.
Pour bien faire, il faudrait éteindre la machine (éventuellement brutalement pour garder /proc et /dev en l'état), faire une copie du disque, la monter sur une machine saine et isolée en lecture seule, inspecter /proc, etc.
Il y a des messages d'erreur dans tes logs, aussi, il y a des chances que la tentative d'exécution ait échoué. Alors, peut-être ne faut-il pas sortir l'artillerie lourde tout de suite :)
Dal
http://lea-linux.org/pho/read/1/294802
dont d'autres commandes de diagnostic, différents programmes de vérification de l'existence de rootkits, et un conseil consistant à utiliser des commandes compilées sur un autre système enregistrées sur CDROM non réinscriptible.
... si ton système est compromis, les commandes standard peuvent être de fausses commandes agravant ta situation .. surtout lancées sous root.
Pour bien faire, il faudrait éteindre la machine (éventuellement brutalement pour garder /proc et /dev en l'état), faire une copie du disque, la monter sur une machine saine et isolée en lecture seule, inspecter /proc, etc.
Il y a des messages d'erreur dans tes logs, aussi, il y a des chances que la tentative d'exécution ait échoué. Alors, peut-être ne faut-il pas sortir l'artillerie lourde tout de suite :)
Dal
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
15 juin 2006 à 15:08
15 juin 2006 à 15:08
Salut,
Tu peux déjà commencer par identifier les adresses IP d'où viennent les attaques, ou utilisées pour t'adresser des fichiers et les bloquer.
Par exemple, pour l'IP d'où vient le .tgz tu peux faire celà avec IPTables si tu l'utilises :
iptables -I INPUT -s 64.111.196.20 -j DROP
ou avec route :
/sbin/route add -host 64.111.196.20 reject
Celà devrait l'arrêter un temps, mais ce pirate semble utiliser ta machine pour flooder, alors il est probable qu'il ait à sa disposition de nombreuses autres machines piratées depuis lesquelles il pourra continuer à communiquer avec la tienne avec des IP différentes.
D'autre part, à partir du moment où il a eu accès à ta machine, il est très difficile de savoir ce qu'il a fait exactement, s'il a altéré les commandes iptables ou route, par exemple, etc.
Ce que je te disais de faire en <1> et <3> permettrait d'avoir une idée de ce à quoi s'amuse ton visiteur. Là, je peux pas deviner, vu que tu ne m'as donné aucun élément.
Comme suggéré en <2>, tu peux lancer un programme de recherche de rootkits tel que :
- Rootkit Hunter : http://www.rootkit.nl/ (une page de Howto en français est là http://routes-linux.scooba.org/rootkit_hunter.php )
- Chkrootkit : http://www.chkrootkit.org/
Sinon, la véritable "artillerie lourde" est de tout réinstaller, tu dormiras plus tranquille.
Dal
N.B. : ton visiteur n'est pas un hacker, c'est un pirate.
Tu peux déjà commencer par identifier les adresses IP d'où viennent les attaques, ou utilisées pour t'adresser des fichiers et les bloquer.
Par exemple, pour l'IP d'où vient le .tgz tu peux faire celà avec IPTables si tu l'utilises :
iptables -I INPUT -s 64.111.196.20 -j DROP
ou avec route :
/sbin/route add -host 64.111.196.20 reject
Celà devrait l'arrêter un temps, mais ce pirate semble utiliser ta machine pour flooder, alors il est probable qu'il ait à sa disposition de nombreuses autres machines piratées depuis lesquelles il pourra continuer à communiquer avec la tienne avec des IP différentes.
D'autre part, à partir du moment où il a eu accès à ta machine, il est très difficile de savoir ce qu'il a fait exactement, s'il a altéré les commandes iptables ou route, par exemple, etc.
Ce que je te disais de faire en <1> et <3> permettrait d'avoir une idée de ce à quoi s'amuse ton visiteur. Là, je peux pas deviner, vu que tu ne m'as donné aucun élément.
Comme suggéré en <2>, tu peux lancer un programme de recherche de rootkits tel que :
- Rootkit Hunter : http://www.rootkit.nl/ (une page de Howto en français est là http://routes-linux.scooba.org/rootkit_hunter.php )
- Chkrootkit : http://www.chkrootkit.org/
Sinon, la véritable "artillerie lourde" est de tout réinstaller, tu dormiras plus tranquille.
Dal
N.B. : ton visiteur n'est pas un hacker, c'est un pirate.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
15 juin 2006 à 15:21
15 juin 2006 à 15:21
Il est probable aussi que ton script /usr/share/psa-horde/services/help/index.php ait une faille, ou que celui-ci ait été modifié par le pirate pour permettre le passage de commandes arbitraires à partir de ton serveur.
Tu devrais vérifier ce script, le mettre à jour, ou le supprimer si tu n'en as pas besoin.
Si le script a été modifié, ton pirate peut le refaire tant que tu n'as pas trouvé de quelle façon il procède.
Dal
Tu devrais vérifier ce script, le mettre à jour, ou le supprimer si tu n'en as pas besoin.
Si le script a été modifié, ton pirate peut le refaire tant que tu n'as pas trouvé de quelle façon il procède.
Dal
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
15 juin 2006 à 16:41
15 juin 2006 à 16:41
Vois çà aussi :
http://forums.sw-soft.com/showthread.php?s=c388bb0253999553cad1da20b92df2fb&threa...
Il y a une version patchée de ce script (qui fait partie du système d'aide de Horde) contribuée par un participant à ce forum qui élimine la vulnérabilité. Si cette version correspond à celle que tu utilises tu peux éventuellement t'en inspirer.
Cependant, cette vulnérabilité a été corrigée dans les versions 3.0.10 et 3.1.1 de Horde. Tu ferais donc mieux de mettre à jour Horde.
Installe toujours les versions les plus à jour de tes logiciels et mets les à jour régulièrement.
Dal
http://forums.sw-soft.com/showthread.php?s=c388bb0253999553cad1da20b92df2fb&threa...
Il y a une version patchée de ce script (qui fait partie du système d'aide de Horde) contribuée par un participant à ce forum qui élimine la vulnérabilité. Si cette version correspond à celle que tu utilises tu peux éventuellement t'en inspirer.
Cependant, cette vulnérabilité a été corrigée dans les versions 3.0.10 et 3.1.1 de Horde. Tu ferais donc mieux de mettre à jour Horde.
Installe toujours les versions les plus à jour de tes logiciels et mets les à jour régulièrement.
Dal
londuba
Messages postés
89
Date d'inscription
mercredi 30 novembre 2005
Statut
Membre
Dernière intervention
25 octobre 2011
11
21 juin 2006 à 17:06
21 juin 2006 à 17:06
Merci beaucoup Dal , la faille etait biensur sur horde que j'ai mis à jour, en fait j'utilisais plesk 7.5.4 et donc je passé à la version 8.0.1 et de meme j'ai mis à jour horde pour passer à la version horde 3.1.1 depuis là je remarque plus d'anomalie dans mes logs, j'espere que ça sera pour de bon.
Tu es un ange mon pote, merci mille fois.
Tu es un ange mon pote, merci mille fois.
[Dal]
Messages postés
6062
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
24 mars 2023
1 044
21 juin 2006 à 18:58
21 juin 2006 à 18:58
Bravo !
Garde quand même un oeil sur tes logs et sur le trafic entrant et sortant de ta machine :)
Dal
Garde quand même un oeil sur tes logs et sur le trafic entrant et sortant de ta machine :)
Dal