Me suis fait pirater ma Debian... Help! Fermé

Question

Bonjour a tous,

Le serveur:
Debian Etch avec apache openssh-server pure-ftp mysql + un iptables que je croyais bien parametré (j'avais a tors laissé ssh accessible de partout)

Application hebergé:
Un site web sous joomla

Les symptomes:
Des segmentations faullt dès que je fais un apt
Le serveur ssh ne fonctionne plus

Analyse rapide:
Il y a eu 2 nouveau users de créés avec un Id 0
Pour le moment je n'en sais pas plus; je ne sais pas trop ou regarder non plus


Sinon,je n'ai pas acces physiquement au serveur mais j'ai pu me connecter via un live cd (netboot) puis j'ai chrooté mon systeme.
Mon idée est de re-installer tous mes paquets un par un mais plusieurs utilitaires sytemes generent des segmentations fault (apt et chmod par ex).

Quelqu'un a t'il une idée, autre que re-installer la distrib, pour fixer mon systeme?

Merci d'avance,
Gilles.

mamiemando · Answer

Très sincèrement si tu t'es vraiment fait piraté, le plus sûr c'est de réinstaller, car hélas tu ne peux plus avoir confiance dans les binaires de ta debian. En d'autre terme une fois chrooté tu n'es pas sûr que les commande font ce qu'elles sont sensées faire.

Petit conseil, ne laisse l'accès ssh à l'extérieur que si c'est nécessaire et surtout à des utilisateurs ayant un VRAI mot de passe. Car sinon la meilleure des distributions avec les iptables les mieux configurées est une passoire !

Si tu as des documents à sauver fait le depuis une live CD sans te chrooter, et vérifie qu'ils contiennent bien ce que tu crois... en particulier les fichiers chargés au lancement d'un profil (~/.bashrc etc...). Dans la mesure du possible il vaut mieux ne rien importer de la debian infectée sur un système sain.

Bonne chance

Me suis fait pirater ma Debian... Help!

1 réponse

Discussions similaires