Bonjour!
Je tourne sous Mdk 10.1 community, et j'ai un GROS problème.
Il y a quelques jours, en voulant installer un package, le gestionnaire n'a pas reconnu mon mot de passe root. En fait, il me semble que le mot de passe a changé, puisqu'en effet à chaque su, le mot de passe habituel est refusé ("mot de passe incorrect"). Pour résumer, je n'ai plus du tout accès aux fonctions ROOT.
Trois personnes utilisent l'ordinateur chez moi, et le seul à connaître le mot de passe root, c'est moi.
Autre fait bizarre, dans la liste des utilisateurs que l'on voit au gestionnaire de connection (KDM car j'utilise KDE 3.2.3), un utilisateur que je ne connais pas est apparu, sous l'identifiant "bluelord". Cette "apparition" coincide avec le changement du mot de passe…
Dois-je conclure à un piratage? La seule solution est-elle la réinstallation (et éventuellement un formatage) ???
Aidez-moi svp…
Forum Linux.mandriva Au secours!!!!
28
mar.
2005
# init 1
Posté par ʭ ☯ . Évalué à 2.
Pour reprendre la main sur ta machine, tu démarres en mode mono-utilisateur :
avec grub ou lilo, il faut ajouter 1 à la ligne de boot. Sinon tu bootes sur le CD d'install et demandes le mode rescue.
Après, un simple "passwd" te permet d'écraser le MDP root.
Ensuite, reboote, et désactive le compte bluelord.
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: init 1
Posté par Obsidian . Évalué à 4.
D'autre part, surtout avec un compte nommé « bluelord », un piratage est très problable, quoi que je trouve ici l'intrusion un peu trop « flagrante ». En tout état de cause, je suis presque certain d'avoir déjà été rootkité une fois, et sûr (parce que je travaillais sur ma machine, que j'ai une dockapp de visualisation du trafic, et parce que j'ai lancé un tcpdump derrière) d'avoir subi plusieurs tentatives d'intrusion sur le port 22 (SSH), soit un balayage en boucle sur le même port sans discontinuer pendant une à deux minutes, mais avec toujours une seule connexion TCP ouverte à la fois. J'ai subi ce genre d'attaque au moins deux fois : La premiere le 26 janvier dernier, depuis une adresse appartenant à Proxad, la deuxième il a deux jours par l'intermédiaire d'un provider japonais.
Moralité: Blindez vos mots de passe. Un truc de huit caractères avec au moins un chiffre et un "_" au milieu du mot permet de contenir une attaque pendant un bon moment, et bloque d'emblée toutes les approches du style « dictionnaire ».
[^] # Re: init 1
Posté par briaeros007 . Évalué à 5.
Et deuxio configurez ssh pour qu'il n'accepte pas les connexions root ;)
moi j'ai regulierement des attaques bruteforce ssh souvent une dizaine d'essai...
Enfin chez moi appartition d'un rootkit (une seule fois ; runner chkrootkit regulierement , et puis mettez tripwire si vous avez le courage; oubliez pas snort ; quand il veux bien marcher :(( ) ou d'un piratage semblable => reinstallation complete !
pas de compromis avec la secu ; il peux installer des backdoor; mettres des modules verolees etc ...
[^] # Re: init 1
Posté par gc (site web personnel) . Évalué à 2.
L'autre solution est de n'autoriser les connexions de par échange de clés. Ça tombe si la machine source tombe cependant ; mais on peut utiliser les deux à la fois.
Avec IP fixe, tu peux aussi mettre un firewall pour n'autoriser les connexions que depuis une IP connue, ce qui est très efficace puisque même avec IP spoofing on ne peut pas s'y connecter.
# ça sent le sapin...
Posté par littlebreizhman . Évalué à 4.
Vérifie le ton parefeu et tes versions de logiciels pour les failles potentielles
Sinon, pour changer ton mot de passe root ;
au mement de l'apparition de ton lilo/grub, tu fais fais Echap pour avoir la ligne de commande, tu tapes "linux single" (solution propre à Mdk je crois).
Tu es ainsi directement loggé en root, tu tapes ensuite passwd et tu tapes ton nouveau passwd root (plus compliqué que l'ancien)
La réinstallation n'est pas forcement nécessaire.
Aussitot après la maj de ton pass, vires le user bizarre et cherches les possibles rootkit et autres softs étranges pour faire le ménage. Tes entrées clavier pourraient être loggées potentiellement et ton nouveau mot de passe lisible.
Enfin, c'est ce que moi je ferais si j'étais dan ton cas
[^] # Re: ça sent le sapin...
Posté par Obsidian . Évalué à 2.
[^] # Re: ça sent le sapin...
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
en dernier recours
# Machine compromise
Posté par Pierre Jarillon (site web personnel) . Évalué à 4.
Très souvent, l'attaque a réussi à cause d'un mot de passe faible.
J'ai un modem-routeur-firewall qui ne laisse passer que ssh. Derrière, j'ai ma machine principale qui fait également firewall et routeur vers mon réseau local.
Toute la journée, on est attaqué. Voici un extrait de /var/log/auth.log filtré par :
grep "Failed password" auth.log |cut -d: -f4 | cut -c35-| sed -e "s/ from//g"|sort -u
red robin rolo root rose server shell stephen steven
sybase system test tom user vampire web webmaster
william www www-data wwwrun yellow
Bien que cité une seule fois (sort -u), root est très sollicité.
Une parade consiste à supprimer la connexion directe de root par ssh. Pour cela, ajouter dans /etc/ssh/sshd_config :
PermitRootLogin no
AllowUsers pierre cathy # seuls pierre et cathy peuvent utiliser ssh
Si on a besoin de se connecter root, il faudra faire su et ainsi donner deux mots de passe bien choisis et très difficiles à trouver.
# merci
Posté par ptikorrig . Évalué à 1.
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed"
N'étant pas un utilisateur très chevronné, je ne sais pas vraiment ce qu'il faut faire pour nettoyer ce "LKM"...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.