Pages: (2) 1 [2]   ( Go to first unread post ) Reply to this topicStart new topicStart Poll

> piratage, pirate ayant effacé contenu de /database
patrick
Posted: 30/08/07 08:10
Quote Post


Super User
**

Group: Belge
Posts: 67
Member No.: 221
Joined: 02/04/03
Submissions: None Submitted
Downloads: No Files Downloaded



Nous avons déja constaté un phénomène similaire

voir si il y a un utilisateur seby
voir si des programmes sont installées en /usr/local/game

blocage ssh et/ou installations de firewall avec filtrage pour solutionner

Patrick
PM
Top
Dominique L.
Posted: 30/08/07 08:31
Quote Post


Ultra User
****

Group: _Membre
Posts: 453
Member No.: 3
Joined: 10/05/02
Submissions: None Submitted
Downloads: 2



QUOTE
il vient de faire changer son adresse ip fixe


Si tu n'es pas sûr que la machine a été nettoyé, ce n''est pas suffisant. En effet, dans l'un de tes premiers post, tu parles de "psyBNC". Cela peut signifier que ce n'est plus le pirate qui vient sur la machine du client, mais que c'est celle-ci qui se connecte sur un serveur IRC, pour se mettre à disposition. Dans ce cas, un changement d'IP n'a pas d'effet.
PM
Top
yvonne
Posted: 30/08/07 15:50
Quote Post


Hyper User
*****

Group: _Membre
Posts: 598
Member No.: 389
Joined: 09/02/04
Submissions: None Submitted
Downloads: 1



je n'arrive plus du tout à me connecter sur le site. et eux n'ont plus acces à internet france telecom semble etre sur place pour rétablir cela
il n'echappera pas à une ré-install du serveur useit. mais il traine car cela représente un cout. le risque est important de perdre toutes ses données et de lui couter à la fin encore plus cher.
le revendeur systeme et matériel s'est mis en liquidation peu après l'install, je pense que la sécurité a été négligée lors de l'install.
PMEmail PosterUsers Website
Top
paddyste
Posted: 30/08/07 22:33
Quote Post


Mega User
***

Group: Sing User
Posts: 126
Member No.: 751
Joined: 12/03/05
Submissions: None Submitted
Downloads: No Files Downloaded



Voici un petit script de ma realisation (qui vaut ce qu'il vaut) permettant de bloquer les adresses autres que celles donnees a l'aide d'iptables. Si ça peut aider . Les pros du shell se rendront compte que je ne suis pas Christophe Blaess :( , n'hésitez pas à y apporter des corrections et a le reposter.


Note de l'administateur:Le fichier en téléchargement a été retiré temporairement en attendant que padyste corrige une petite erreur contenue dans le script
PMEmail Poster
Top
paddyste
Posted: 31/08/07 09:46
Quote Post


Mega User
***

Group: Sing User
Posts: 126
Member No.: 751
Joined: 12/03/05
Submissions: None Submitted
Downloads: No Files Downloaded



Voila, désolé, une petite erreur.

En gros, je teste dans la derniere heure du /var/log/messages si il ya eu deux tentatives de connexions avec mdp erroné. Si oui je bloque l'adresse dans iptables a l'aide du fichier genipbloc. Le fichier genipblocdetail est un ajout permettant de voir les dates de connexions, depuis que j'ai mis ce scipt en place, ces fichiers se remplissent pas mal...

Remplacer les adresses 192.168.0.1 et 2 par des adresses ne pouvant jamais etre bloquées.

Ce script se lance toutes les minutes depuis la crontab.
Pour use it 2.1, copier /lib/iptables et son contenu sur /usr/local/lib/ pour faire fonctionner iptables.

Si vous avez de meilleures solutions je suis preneur. Si la méthode est critiquable alors dites le moi. Merci.

NB : je n'authorise pas directement des adresses pour que des personnes ayant l'id - mdp puissent se connecter de n'importe ou.

Attached File ( Number of downloads: 113 )
Attached File  mon_iptables.sh
PMEmail Poster
Top
Marcelino
Posted: 31/08/07 11:33
Quote Post


Hyper User
*****

Group: Spanish
Posts: 532
Member No.: 717
Joined: 22/02/05
Submissions: None Submitted
Downloads: 1



Bon travail.


Attached Image
Attached Image
PM
Top
Jean-Luc MARLIER
Posted: 04/09/07 15:38
Quote Post


Mega User
***

Group: Membre
Posts: 156
Member No.: 306
Joined: 03/09/03
Submissions: None Submitted
Downloads: No Files Downloaded



La méthode iptables est très puissante et elle permet de créer un véritable firewall sur son UseIT.
Cela dit, quand le site client permet d'installer un firewall indépendant (boitier routeur internet par exemple), c'est beaucoup plus facile à administrer.
PM
Top
yvonne
Posted: 05/09/07 09:17
Quote Post


Hyper User
*****

Group: _Membre
Posts: 598
Member No.: 389
Joined: 09/02/04
Submissions: None Submitted
Downloads: 1



sur le site pirate, lundi de nouveau /database était vide, et heureusement sauvegardé ailleurs par le pirate lui-meme, donc on a restauré. c'est reparti.
j'attends que le client comprenne l'avertissement et fasse effacer et ré-installer useit, et controler tous les conseils de sécurité donnés ici. je vais finir par envoyer un recommandé au client !!!! pour qu'il prenne cela au sérieux.
PMEmail PosterUsers Website
Top
root
Posted: 06/09/07 13:01
Quote Post


God of the forum
*******

Group: Admin
Posts: 6123
Member No.: 2
Joined: 10/05/02
Submissions: 10 
Downloads: 19



c'est quand mêm étrange ce comportement du pirate de sauvegarder et d'éffacer le contenu du répertoire !!!!
En général les pirates font des dégats ou bien , il fait cela pour fair comprendre ce que le piratage peut provoquer !!!!
Faudra quand même le remercier de ne pas avoir fait de gros dégat.
Mais peut-être que les prochaines fois, il sera moins gentil :-(
PM
Top
Marcelino
Posted: 06/09/07 13:18
Quote Post


Hyper User
*****

Group: Spanish
Posts: 532
Member No.: 717
Joined: 22/02/05
Submissions: None Submitted
Downloads: 1



Peut-etre que la propre sauvegarde efface le repertoire ? <_<
PM
Top
Alexandre
Posted: 21/09/07 15:59
Quote Post


Super User
**

Group: Membre
Posts: 56
Member No.: 107
Joined: 25/11/02
Submissions: None Submitted
Downloads: 2



QUOTE (yvonne @ 22/08/07 10:02)
quand je regarde sur d'autres sites
à chaque fois les droits sur /etc/passwd  sont -rw-r--r--
cela signifie-t-il que n'importe qui peut voir les comptes utilisateurs et les mots de passe?


Bonjour

le fait que le fichier /etc/passwd soit en lecture pour tout le monde c'est normal puisque les programmes d'authentification et de login doivent pouvoir lire le fichier avant d'authentifier l'utilisateur (pour savoir si il existe, quel est sont répertoire de cnx, son groupe etc...)

Le fichier contenant les mots de passes réels est /etc/shadow qui lui doit être lisible seulement par le root.

Ceci dit, une machine piratée comme celle-ci doit être truffée de programmes réécrits se faisant passer pour des programmes standards, il vaudrait mieux la réinstaller, la mettre derrière un routeur et ne donner l'accès en ssh qu'à un seul utilisateur avec un mot de passe complexe (majuscules/minuscules/chiffres)

Une considération plus générale :
Lorsqu'une machine se fait pirater il peut y avoir plusieurs raisons :
- juste pour le fun & destroy
- vol d'informations
- utiliser la machine pour planifier l'attaque d'autres systèmes (et c'est le propriétaire de la machine piratée qui va aller faire un tour à Guantanamo avec un pyjama orange)
- servir de serveur de fichiers pour du téléchargement ou partages de fichiers soumis à ©opyRight

Dans les deux derniers cas de figure le pirate à intêret à ce que le système fonctionne le plus longtemps possible.

My two cents

A.
PM
Top
devor
Posted: 22/09/07 10:19
Quote Post


User
*

Group: Membre
Posts: 44
Member No.: 484
Joined: 15/06/04
Submissions: None Submitted
Downloads: No Files Downloaded



En ce qui concerne SSH, le plus sûr est d'utiliser l'authentification par clé, et de supprimer la connection avec login/password.

Une solution de plus est ne pas ouvrir le port 22 à partir de l'exterieur pour pouvoir se connecter, mais utiliser un autre port qui fera une translation d'adresse à partir du routeur vers le port 22 du USE-IT .

Cela permet de déjouer toutes les attaques faites avec des robots qui testent toutes les adresses IP.

PMEmail Poster
Top
0 User(s) are reading this topic (0 Guests and 0 Anonymous Users)
0 Members:

Topic Options Pages: (2) 1 [2]  Reply to this topicStart new topicStart Poll

 

webcron.org Get Firefox! prologue-community.org est monitoré par ikoula.fr Referenceur Gratuit www.prologue-community est mis en évidence sur internet grace à daubresse.fr
moteur de recherche - referencement
Conformément à l'article 34 de la loi "Informatique et Liberté" vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données qui vous concernent.
Pour l'exercer, merci de nous contacter : CONTACT US

www.prologue-community.org n'est pas enregistré à la CNIL
www.prologue-community.org est hébergé sur visit.fr

www.prologue-community.org est indépendant de la société Prologue
Une grande partie des logiciels et outils cités sur www.prologue-community.org sont des produits et marques déposées par la société Prologue


MKPortal M1.1 Rc1 ©2003-2005 All rights reserved
Page generated in 0.00751 seconds with 2 queries