PB hacker:You Suck Secure Your Damns Erver... Fermé

Question

Bonjour,

Je suis sur debian et utilise mythtv.. Depuis quelques temps, je ne peux plus acceder à certaines applications de mythtv. 

En observant les message en console je suis tomber sur celui-ci :

008-03-14 23:40:42.687 Connecting to backend server: YOU SUCK SECURE YOUR DAMNS ERVER OR I COME BACK!!!:0 (try 1 of 5)
2008-03-14 23:40:42.688 Connection timed out.         
            You probably should modify the Master Server
            settings in the setup program and set the   
            proper IP address.

Bref, je me suis fait traduire la phrase en francais (car nul en anglais) et à ma grande surprise, il s'agit d'un petit message d'un hacker qui me dit que mon serveur (apache2) n'est pas sécurisé et que je dois régler le problème sinon "he'll be back".

Ouah, ça fout la trouille :)

De plus, il a un peu casser mon système car je ne peux fermer et redemarrer mon PC (obligé de faire ça violemment). Ensuite, j'ai un message qui me dit que mon espace disque partition root est plein ??? 
Mais je n'ai pas de partition root, juste un rpertoire qui est vide ??

Bref, vous comprenez que je n'y comprend rien du tout et que je ne sais absolument pas comment me sortir decette situtation. 

J'ai quand même rkhunter (un anti-rootkit) et j'ai scanné pour trouver ça :

System checks summary
=====================

File properties checks...
    Files checked: 130
    Suspect files: 2

Rootkit checks...
    Rootkits checked : 113
    Possible rootkits: 0

Applications checks...
    Applications checked: 5
    Suspect applications: 0

The system checks took: 1 minute and 47 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

et dans le /var log/rkhunter j'ai ça :

[10:04:51] /usr/sbin/unhide                                  [ Warning ]
[10:04:52] /usr/sbin/unhide-linux26                          [ Warning ]
[10:04:52] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.

5:38] Performing trojan specific checks
[10:05:38] Info: Starting test name 'trojans'
[10:05:38] Info: Using inetd configuration file '/etc/inetd.conf'
[10:05:38]   Checking for enabled inetd services             [ Warning ]
[10:05:38] Warning: Found enabled inetd service: ident
[10:05:38] Warning: Found enabled inetd service: swat
[10:05:38]
[10:05:38]   Performing check for enabled xinetd services
[10:05:38]   Checking for enabled xinetd services            [ Skipped ]
[10:05:38] Info: Check skipped - file '/etc/xinetd.conf' does not exist.
[10:05:38]   Checking for Apache backdoor                    [ Not found ]

00] Performing system configuration file checks
[10:06:00] Info: Starting test name 'system_configs'
[10:06:00]   Checking for SSH configuration file             [ Found ]
[10:06:00] Info: Found SSH configuration file: /etc/ssh/sshd_config
[10:06:00] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'no'.
[10:06:00]   Checking if SSH root access is allowed          [ Warning ]

Warning: The SSH and rkhunter configuration options should be the same:
[10:06:00]          SSH configuration option 'PermitRootLogin': yes
[10:06:00]          Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
[10:06:00]   Checking if SSH protocol v1 is allowed          [ Not allowed ]
[10:06:00]   Checking for running syslog daemon              [ Found ]
[10:06:00]   Checking for syslog configuration file          [ Found ]
[10:06:01] Info: Found syslog configuration file: /etc/syslog.conf
[10:06:01]   Checking if syslog remote logging is allowed    [ Not allowed ]

Performing filesystem checks
[10:06:01] Info: Starting test name 'filesystem'
[10:06:01] Info: SCAN_MODE_DEV set to 'THOROUGH'
[10:06:07]   Checking /dev for suspicious file types         [ None found ]
[10:06:09]   Checking for hidden files and directories       [ Warning ]

[10:06:09] Warning: Hidden directory found: /etc/.java
[10:06:09] Warning: Hidden directory found: /dev/.static
[10:06:09] Warning: Hidden directory found: /dev/.udev
[10:06:09] Warning: Hidden directory found: /dev/.initramfs


Voilà, à un moment donné, ça parle de trojan mais bon c'est du charabia pour moi.
Là j'ai besoin d'un coup de main pour trouver le problème, enlever le virus si il ya et aussi savoir comment je peux sécuriser mon serveur apache2.

Moi qui croyait être tranquille sur linux :(

gab1 · Answer

si tu as rien a pardre et un cd pour linux format ton DD 
si non sa devrait etre 1 peux plus compliqué

Xun · Answer

A fond, ça fou la trouille.

Je te conseille d'aller sur ubuntu-fr.org, on pourra mieux t'aider là bas.

Cordialement,
Xun

mamiemando · Answer

Je t'invite à mettre tes données personnelles et indispensables sur un CD ou une clé USB, et de complètement réinstaller. Machine hackée = machine pas fiable. Il a très bien pu patcher des commandes "intéressantes" genre ls ou ps afin de cacher ce qui se passe sur ta machine.

Bonne chance

bob031 · Answer

intéressant ....

j'épingle ...pour moi !
désolé mais le tuto est en anglais
https://www.oreilly.com/radar/

bob031 · Answer

salut,

installation de rkhunter sur la fedora9 :

Rien de particulier, quelques infos que j'ajoute et le lien ci dessus que je me remonte :


[root@fedora9 rkhunter]# cat rkhunter.log | grep Warning
[20:36:50] Info: Emailing warnings to 'root@localhost' using command '/bin/mail -s "[rkhunter] Warnings found for ${HOST_NAME}"'
[20:40:03]   Checking if SSH root access is allowed          [ Warning ]
[20:40:03] Warning: The SSH and rkhunter configuration options should be the same:
[root@fedora9 rkhunter]#

PB hacker:You Suck Secure Your Damns Erver...

5 réponses

Discussions similaires

Newsletters