J'ai été piraté
londuba
Messages postés
92
Statut
Membre
-
foobar47 Messages postés 13654 Statut Contributeur -
foobar47 Messages postés 13654 Statut Contributeur -
Bonjour tout le monde, j'ai bien été piraté, je vous demande de m'aider à en savoir afin de me proteger le plus vite possible, voici ce que donne le resultat de rkhunter :
j'ai deux utilisateurs que je connais pas et qui se sont connecté sur mon serveur à savoir user_pirate et user_pirate2
si quelqu'un peut m'aider à bien interpreter cette sortie de rkhunter et à me venir en aide, je lui serais bien reconnaissant.
Merci d'avance
System checks
* Allround tests
Checking hostname... Found. Hostname is pc.nexlink.net
Checking for passwordless user accounts... OK
Checking for differences in user accounts... Found differences
Info:
----------------------
> user_pirate:x:10001:10001::/home/httpd/vhosts/mon_domaine:/bin/false
> user_pirate2:x:10006:10001::/home/httpd/vhosts/mon_domaine/subdomains/pirate:/bin/false
----------------------
Info: Some items have been removed (items marked with '>')
Checking for differences in user groups... OK. No changes.
Checking boot.local/rc.local file...
- /etc/rc.local [ OK ]
- /etc/rc.d/rc.local [ OK ]
- /usr/local/etc/rc.local [ Not found ]
- /usr/local/etc/rc.d/rc.local [ Not found ]
- /etc/conf.d/local.start [ Not found ]
- /etc/init.d/boot.local [ Not found ]
Checking rc.d files...
Processing........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
.....................................
Result rc.d files check [ OK ]
Checking history files
Bourne Shell [ OK ]
* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ OK ]
[Press <ENTER> to continue]
j'ai deux utilisateurs que je connais pas et qui se sont connecté sur mon serveur à savoir user_pirate et user_pirate2
si quelqu'un peut m'aider à bien interpreter cette sortie de rkhunter et à me venir en aide, je lui serais bien reconnaissant.
Merci d'avance
12 réponses
Salut,
Qui te dis que user_pirate et user_pirate2 se sont connéctés ?
On voit leut nom de connexion dans le fichier /etc/passwd
Commences par ceci :
regarde ce qui a été mis dans /home/httpd/vhosts/mon_domaine/
ls -l /home/httpd/vhosts/mon_domaine
ensuite, supprimme les utilisateurs :
userdel -r user_pirate
userdel -r user_pirate2
regarde les connections actives :
netstat -tupl
Installe ceci :
www.chkrootkit.org
Qui te dis que user_pirate et user_pirate2 se sont connéctés ?
On voit leut nom de connexion dans le fichier /etc/passwd
Commences par ceci :
regarde ce qui a été mis dans /home/httpd/vhosts/mon_domaine/
ls -l /home/httpd/vhosts/mon_domaine
ensuite, supprimme les utilisateurs :
userdel -r user_pirate
userdel -r user_pirate2
regarde les connections actives :
netstat -tupl
Installe ceci :
www.chkrootkit.org
Bonjour, pour te le prouver voici se que montre le log messages:
en regardant ce log messages, les deux users n'ont fait que quelques secondes sur mon serveur.
j'ai bien regardé dans /home/httpd/vhosts/mon_domaine mais j'ai rien trouvé, pour info j'ai deja supprimé les deux users, voici egalement ce que donne la commance last
on voit aussi que leurs adresse ip est masqué par addp1.mediasat.r alors je pense que j'ai bien été piraté, ils etaient bien dans /etc/passwd mais je les ai pas créés.
Help please
Jul 18 20:59:49 mon_serveur sshd(pam_unix)[20942]: session opened for user_pirate by (uid =10001) Jul 18 20:59:53 mon_serveur sshd(pam_unix)[20942]: session closed for user_pirate Jul 18 21:00:20 mon_serveur sshd(pam_unix)[20975]: session opened for user_pirate2 by (uid=10006) Jul 18 21:00:23 mon_serveur sshd(pam_unix)[20975]: session closed for user_pirate
en regardant ce log messages, les deux users n'ont fait que quelques secondes sur mon serveur.
j'ai bien regardé dans /home/httpd/vhosts/mon_domaine mais j'ai rien trouvé, pour info j'ai deja supprimé les deux users, voici egalement ce que donne la commance last
user_pirate pts/0 addp1.mediasat.r Tue Jul 18 21:00 - 21:00 (00:00) user_pirate2 pts/0 addp1.mediasat.r Tue Jul 18 20:59 - 20:59 (00:00)
on voit aussi que leurs adresse ip est masqué par addp1.mediasat.r alors je pense que j'ai bien été piraté, ils etaient bien dans /etc/passwd mais je les ai pas créés.
Help please
Mets à jour TOUS tes paquets. Et régulièrement.
Puis fait des réglages au peigne fin de ton firewall...
Puis fait des réglages au peigne fin de ton firewall...
Mets à jour TOUS tes paquets. Et régulièrement.
Puis fait des réglages au peigne fin de ton firewall...
Oui j'ai essayé mais yum ne marche pas et je sais pas pourquoi, comment on peut savoir si yum est bien installé sur le serveur ?
Puis fait des réglages au peigne fin de ton firewall...
Oui j'ai essayé mais yum ne marche pas et je sais pas pourquoi, comment on peut savoir si yum est bien installé sur le serveur ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Quand je fais yum update yum voici ce que ça me retourne:
et c'est aussi la meme chose quand je tappe
que puis je faire pour que yum marche ?
] # yum update yum Gathering header information file(s) from server(s) Server: Fedora Core 2 - i386 - Base Server: Fedora Core 2 - i386 - Released Updates Finding updated packages Downloading needed headers No Packages Available for Update No actions to take
et c'est aussi la meme chose quand je tappe
yum update sshd
que puis je faire pour que yum marche ?
Ben ça a l'air d'être bon.
Change éventuellement tes mots de passe utilisateur.
Choisis des suites de nombres et de caractères qui n'ont aucun sens.
Change éventuellement tes mots de passe utilisateur.
Choisis des suites de nombres et de caractères qui n'ont aucun sens.
Salut Londuba,
Vérifie que tu as celà, pour interdire le login ssh à root :
PermitRootLogin no
Tu utiliseras un utilisateur normal, avec un nom difficile à deviner, pour te loguer, et tu feras su - si tu as besoin d'être root.
Tu devrais aussi spécifier une liste d'utilisateurs qui seuls sont autorisés à se loguer en ssh.
Comme celà, par exemple :
AllowUsers leloginduradeviner
Tu redémarres le service sshd.
Si tu veux qu'on jette un oeil à ta configuration sshd_config, tu peux aussi la poster ici.
Tu devrais aussi bloquer la/les adresses IP de ton attaquant avec iptables, cf : affich 2269715#5
Mais tufs a raison, si quelqu'un s'est introduit sur ta machine, il a pu lancer des services, installer des portes d'entrées, etc. Tu devrais surveiller le trafic.
Suit aussi les bons conseils de foobar47 :
regarde les connections actives :
netstat -tupl
Installe ceci :
www.chkrootkit.org
Dans un monde idéal, pour dormir tranquille, il faudrait débrancher le câble réseau, faire une copie des données et réinstaller la machine (avec un système plus récent, tant qu'à faire)... à moins que tu ne réussisses à identifier très précisément ce qui a été fait sur ton système.
Dal
Vérifie que tu as celà, pour interdire le login ssh à root :
PermitRootLogin no
Tu utiliseras un utilisateur normal, avec un nom difficile à deviner, pour te loguer, et tu feras su - si tu as besoin d'être root.
Tu devrais aussi spécifier une liste d'utilisateurs qui seuls sont autorisés à se loguer en ssh.
Comme celà, par exemple :
AllowUsers leloginduradeviner
Tu redémarres le service sshd.
Si tu veux qu'on jette un oeil à ta configuration sshd_config, tu peux aussi la poster ici.
Tu devrais aussi bloquer la/les adresses IP de ton attaquant avec iptables, cf : affich 2269715#5
Mais tufs a raison, si quelqu'un s'est introduit sur ta machine, il a pu lancer des services, installer des portes d'entrées, etc. Tu devrais surveiller le trafic.
Suit aussi les bons conseils de foobar47 :
regarde les connections actives :
netstat -tupl
Installe ceci :
www.chkrootkit.org
Dans un monde idéal, pour dormir tranquille, il faudrait débrancher le câble réseau, faire une copie des données et réinstaller la machine (avec un système plus récent, tant qu'à faire)... à moins que tu ne réussisses à identifier très précisément ce qui a été fait sur ton système.
Dal
Bon et alors ?
As-tu passé un coup de chkrootkit ?
Quelles sont les connexions actives ?
As-tu la possibilité d'upgrader à la FC4 ou 5 par exemple ?
As-tu passé un coup de chkrootkit ?
Quelles sont les connexions actives ?
As-tu la possibilité d'upgrader à la FC4 ou 5 par exemple ?
Bonjour,
Peut-être ne pas trop se fier à ce programme.
Reagardes la page Wiki :
rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, backdoors et exploits. Pour cela, il compare le hashMD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires permissions, fichiers cachés, chaines suspected dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.
Rappelons cependant que depuis 2005 on sait créer des fichiers distincts de même signature MD5 en raison d'une propriété d'invariance mathématique de ce procédé.
Source :
https://fr.wikipedia.org/wiki/Rkhunter
Peut-être ne pas trop se fier à ce programme.
Reagardes la page Wiki :
rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, backdoors et exploits. Pour cela, il compare le hashMD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires permissions, fichiers cachés, chaines suspected dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.
Rappelons cependant que depuis 2005 on sait créer des fichiers distincts de même signature MD5 en raison d'une propriété d'invariance mathématique de ce procédé.
Source :
https://fr.wikipedia.org/wiki/Rkhunter
salut
Pour ma part je pensse comme teutates il ne faut pas trop t y fier
parcontre il est indispenssable de bien configurer son firewall
iptables chez linux par le bias d une interface graphique
eventuellement .....
tu peux aussi te servire de ses outil que tu trouveras sur les
depots officiel de ta fedora ses outil scane des ports et surveille le
trafic sur ton reseaux il me semble qu ils sont bien plus efficace
et plus interessant à decouvrire car ça te permet de savoir en
temps réel tout ce qui sort ou tout ce qui rentre et sont d un soutien extraodinaire à ton system de firewall voilà assez parler ....
https://nmap.org/presentations/Defcon13/NmapRelease/ nmap**
http://nsat.sourceforge.net/ nsat **
http://www.tcpdump.org/ tcpdump**
https://ethereal.com/ ethereal**
GUI for iptables firewall setup and monitor. http://www.fs-security.com/
ben surveille bien maintenant .....
Pour ma part je pensse comme teutates il ne faut pas trop t y fier
parcontre il est indispenssable de bien configurer son firewall
iptables chez linux par le bias d une interface graphique
eventuellement .....
tu peux aussi te servire de ses outil que tu trouveras sur les
depots officiel de ta fedora ses outil scane des ports et surveille le
trafic sur ton reseaux il me semble qu ils sont bien plus efficace
et plus interessant à decouvrire car ça te permet de savoir en
temps réel tout ce qui sort ou tout ce qui rentre et sont d un soutien extraodinaire à ton system de firewall voilà assez parler ....
https://nmap.org/presentations/Defcon13/NmapRelease/ nmap**
http://nsat.sourceforge.net/ nsat **
http://www.tcpdump.org/ tcpdump**
https://ethereal.com/ ethereal**
GUI for iptables firewall setup and monitor. http://www.fs-security.com/
ben surveille bien maintenant .....
Merci bien tufs mais il faut d'abord et c'est urgent que je configure bien mon sshd_config car il subit d'enorme attaque en force brute mais je sais bien comment faire, si quelqu'un peut m'aider pour bien le configuré.
salut
Dans un monde idéal, pour dormir tranquille, il faudrait débrancher le câble réseau
malheureusement Dal dit la verité il faut ne pas avoir de connexion pour etre tranquille ......
pour en rajouter : la plupart des intrusions dans les system Linux
sont souvent dues aux erreurs dans les programmes et aussi souvent les pirates expoitent ses failles permettant le debordement
de tampon ( buffer overflow ) toujours garder le system à jour ...
en activant certaines regles de firewall afin de bloquer
le trafic sur les ports inutiles pour les services que tu n utilises
pas à toi de voir ..... il est possible de reduire considerablement
la connectivité des portes derobées d écoute en utilisant que les services que tu utilises ....
Pour finir moins de services => plus de securiter et il n est pas toujours facile de traduire une srtategie de defense dans une configuration d un pare-feu réseau il faut chercher avec Google
attention un intrus peut exploiter une mauvaise configuration ou
une faiblesse du produit lui-meme .....
donc Dal vise juste ..... c est sans-fin au petit bonheur la chance
Dans un monde idéal, pour dormir tranquille, il faudrait débrancher le câble réseau
malheureusement Dal dit la verité il faut ne pas avoir de connexion pour etre tranquille ......
pour en rajouter : la plupart des intrusions dans les system Linux
sont souvent dues aux erreurs dans les programmes et aussi souvent les pirates expoitent ses failles permettant le debordement
de tampon ( buffer overflow ) toujours garder le system à jour ...
en activant certaines regles de firewall afin de bloquer
le trafic sur les ports inutiles pour les services que tu n utilises
pas à toi de voir ..... il est possible de reduire considerablement
la connectivité des portes derobées d écoute en utilisant que les services que tu utilises ....
Pour finir moins de services => plus de securiter et il n est pas toujours facile de traduire une srtategie de defense dans une configuration d un pare-feu réseau il faut chercher avec Google
attention un intrus peut exploiter une mauvaise configuration ou
une faiblesse du produit lui-meme .....
donc Dal vise juste ..... c est sans-fin au petit bonheur la chance
