OVH Community, votre nouvel espace communautaire.

Attributs et checksum sur ovh release 2


cassiopee
05/01/2015, 11h53
Oui, mon serveur en Release 2 est indemme (car la mise à jour d'OVH a été faite à temps).

Honnêtement, je n'ai pas encore vu de cas où OVH a déclaré qu'un serveur a été piraté et qu'il se soit ensuite
avéré que ce n'était pas le cas. Bien sûr, cela ne veut pas dire que ça soit impossible mais disons qu'à plus
de 99% des cas, le piratage est réel.

Le souci étant que parfois le pirate ne fait que lancer un script en RAM, ce qui fait qu'une fois le serveur
rebooté en mode Rescue par OVH, il ne subsiste aucun script pirate à détecter dans le serveur dédié

Juste des indications secondaires, indirectes, dans les fichiers de logs (du genre beaucoup
d'email rentrants correspondants à des bounces de spams émis par le script pirate) mais rien
de direct, flagrant.

tanguyd
05/01/2015, 11h13
Merci

Je vais vérifier la release, mais à titre d'information j'ai trouvé ensuite cette discussion http://forum.ovh.com/showthread.php?...he-cron/page30

A priori le serveur avait été touché par shellshock. Dans votre cas les attributs sont normaux, donc vous avez pas du être victime du grand piratage de serveurs ovh.

cassiopee
04/01/2015, 10h46
Voilà ce que ça donne de mon côté :

Code:
# lsattr /usr/bin/ssh-add
-------------- /usr/bin/ssh-add

# stat /usr/bin/ssh-add
  File: `/usr/bin/ssh-add'
  Size: 125320          Blocks: 256        IO Block: 4096   fichier régulier
Device: 801h/2049d      Inode: 932614      Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2014-10-25 00:54:45.000000000 +0200
Modify: 2010-07-28 12:55:34.000000000 +0200
Change: 2013-06-24 13:34:56.000000000 +0200

# md5sum /usr/bin/ssh-add
2d2f1b3fbde35cf9e76dd75f9b341e70  /usr/bin/ssh-add


# lsattr /usr/sbin/lsof
-------------- /usr/sbin/lsof

# stat /usr/sbin/lsof
  File: `/usr/sbin/lsof'
  Size: 117504          Blocks: 240        IO Block: 4096   fichier régulier
Device: 801h/2049d      Inode: 1038141     Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2014-10-22 00:43:24.000000000 +0200
Modify: 2006-05-29 12:16:43.000000000 +0200
Change: 2013-06-24 13:34:59.000000000 +0200

# md5sum /usr/sbin/lsof
f55c0123de0f67b32f34e1d0df9c56a0  /usr/sbin/lsof
ainsi que :

Code:
# cat /etc/ovhrelease
2.35
Afin d'être sûr que l'on compare la même chose.

tanguyd
02/01/2015, 21h44
Bonjour

J'ai un client qui avait chez ovh un serveur dédié avec la distribution ovh release 2. Un beau jour il a perdu l'accès a webmin et a ces sites. Le verdique facturé du support "votre serveur a été hacké", sans détails sur l’attaque autres que des attributs vus par lsattr sur des fichiers système. Je suis peu convaincu par la réponse

Comme je n'ai pas d'autres serveurs avec la distribution ovh release 2, je vous sollicite pour faire une comparaison. Pouvez vous lancer les commandes suivantes et me donner le résultat

lsattr /usr/bin/ssh-add
stat /usr/bin/ssh-add
md5sum /usr/bin/ssh-add
lsattr /usr/sbin/lsof
stat /usr/sbin/lsof
md5sum /usr/sbin/lsof


Le lsattr permet de voir les attributs du fichier, le stat permet de voir les des modification du ficher, de l'inode, des attributs, le md5sum contrôle le checksum

Merci d'avance