Oui, je viens de m'apercevoir que c'était a cause des blocages que j'avais fait au niveau du firewall sur toutes les adresse ip, donc j'ai remis un iptables -P INPUT ACCEPT et j'ai bloqué seulement les ports 80 et 443, puisque de toute façon c'est la seul manière de connexion au bdd si on connais les mdp (au moins je crois, puisque le 3306 n'est accessible que par localhost et les autres accès sont verrouillés). Donc là tout marche. Maintenant je vais changer tous mes mot de passe de bdd, et après ceux des utilisateurs de l'application web, et puis je rouvrirai les ports 80 et 443, et si il y a encore d'autres intrusions je me casse.
en fait je n'ai rien compris au DNS. J'ai passé l'après midi à lire ce que est un record, à quoi il sert les différents type, … Mais je n'ai rien compris!!! Dans mon cas, j'ai quelque domaine crée dans virtualmin. Chaque domaine a un nome du type sous1.principale.info sous2.principale.info … Il y en a aussi un qui est le principale, donc principale.info. Maintenant mon principale.info est un nom de domaine qui vient de chez bookmyname, donc depuis l'interface de bookmyname j'ai crée un A record vers l'adresse ip du serveur qui est hébergé chez online, depuis celle d'online je saisie le nom de domaine comme reverse. Si j'essaye d’accéder à l'internet depuis mon serveur, en utilisant n'importe quel commande comme wget google.com j’obtiens : wget: unable to resolve host address `google.com'. Je ne comprends pas comment paramétrer ces record dans chaque sous-domaines de virtualmin, les configurations sont les mêmes que sur l'ancien serveur, sauf que l'ancien serveur avait une autre zone DNS, ancienadresse.info. Cet adresse est sur chaque configuration des record des sous-domaines de virtualmin, en particulier dans le record SOA et NS. En plus, quand j'essaye d'attribuer comme dns primaire au virtualmin principale.info, il me repond comme-ça:
Primary nameserver cannot be resolved from the rest of the Internet : Download timed out
Ok, il y a encore quelqu’un qui se connecte sur un port aléatoire et lui il utilise le port 53, sauf que maintenant c'est en ipv6, je ne sais même pas s'il était activé. Comment je peux faire? Vraiment je ne sais plus quoi penser
j'ai vu l'histoire de cryptophp, mais je n'utilise ni joomla, ni wordpress, etc.
J'ai installé d'ailleur cryptophp hier je crois, car mon phpmyadmin me disait qu'il n'était pas activé, mais je suis passé par apt-get. Le serveur je l'ai installé il n'y a pas longtemps, après la découverte de la faille shellshock. Maintenant ce que je voudrais savoir c'est comment cette ou ces personnes ont pu acceder à mon phpmyadmin, et si en changeant tous les mot de passe je pourrais resoudre le problème. En plus il'y avait une version de phpmyadmin très ancienne. Si effectivement il utilise la faille du shell, comment je peux m'en apercevoir? J'ai un nom de domaine qui pointe vers l'addresse ip du serveur, et le serveur à plusieurs sous-domaines, comment je peux zapper le service bind? Sans compter que pour moi tout le système DNS est incomprensible
Salut,
Merci pour tes conseilles.
Malheureusement l'https pour l'instant est loin de sa mise en place, ce n'est pas moi qui mets de l'argent, et celui qui devrais en mettre est radin, et avec an auto-certification les clients ne sauraient pas comment mettre une exception de sécurité dans le navigateur.
En effet fail2ban il est bien configuré, au moins pour ce qui concerne ssh,pam,ftp,smtp,imap,pop. Pour apache il est configuré mais pas pour chaque fichier de log des différents sous-domaines (pas utile pour l'instant) mais seulement pour les logs dans le fichier /var/log/apache*/*error.log. Par contre j'ai mis en place aussi un filtre pour l'accès sur l'application web, ça veut dire que si un client se trompe de 10 fois de mot de passe il est banni, et il faut qu'il m'appelle si c'est bien lui qui c'est trompé. Phpmyadmin je vais surement le virer, et la distribution est une debian7 à jours. Le serveur je viens de l'installer, j'ai juste récupéré les sous-domaines grâce au module de backup/restore de virtualmin, et j'ai changé tous les ancien mot de passe : connexion à les différentes bdd, accès de l'utilisateur de chaque sous-domaines, accès root pour administration, accès root bdd. Pour l'instant j'ai pu vérifier que quelqu’un est rentré depuis phpmyadmin, donc le problème , normalement, serait seulement au niveau des bdd. Donc en supprimant phpmyadmin et en changeant tous les mot de passe, et des bases, et des utilisateurs du programme, je devrai résoudre le problème. Par contre je ne comprends pas par exemple, que un adresse ip arrive à se connecter sur un porte aléatoire de mon serveur en faisant je ne sais pas quoi, en sachant seulement que lui (et pas moi) utilise le port 53.
J'ai croisé les logs de apache du sous-domaine phpmyadmin avec les logs mysql, et il y a les mêmes adresses ip, peut être que c'est juste l'ancien développeur puisque il rentre aussi dans le programme en utilisant un des login qu'il a trouvé dans la base et il efface derrière sa trace dans la table des log des utilisateurs
[^] # Re: comprendre les dns
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 1.
Oui, je viens de m'apercevoir que c'était a cause des blocages que j'avais fait au niveau du firewall sur toutes les adresse ip, donc j'ai remis un iptables -P INPUT ACCEPT et j'ai bloqué seulement les ports 80 et 443, puisque de toute façon c'est la seul manière de connexion au bdd si on connais les mdp (au moins je crois, puisque le 3306 n'est accessible que par localhost et les autres accès sont verrouillés). Donc là tout marche. Maintenant je vais changer tous mes mot de passe de bdd, et après ceux des utilisateurs de l'application web, et puis je rouvrirai les ports 80 et 443, et si il y a encore d'autres intrusions je me casse.
# comprendre les dns
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 2.
Salut,
en fait je n'ai rien compris au DNS. J'ai passé l'après midi à lire ce que est un record, à quoi il sert les différents type, … Mais je n'ai rien compris!!! Dans mon cas, j'ai quelque domaine crée dans virtualmin. Chaque domaine a un nome du type sous1.principale.info sous2.principale.info … Il y en a aussi un qui est le principale, donc principale.info. Maintenant mon principale.info est un nom de domaine qui vient de chez bookmyname, donc depuis l'interface de bookmyname j'ai crée un A record vers l'adresse ip du serveur qui est hébergé chez online, depuis celle d'online je saisie le nom de domaine comme reverse. Si j'essaye d’accéder à l'internet depuis mon serveur, en utilisant n'importe quel commande comme wget google.com j’obtiens : wget: unable to resolve host address `google.com'. Je ne comprends pas comment paramétrer ces record dans chaque sous-domaines de virtualmin, les configurations sont les mêmes que sur l'ancien serveur, sauf que l'ancien serveur avait une autre zone DNS, ancienadresse.info. Cet adresse est sur chaque configuration des record des sous-domaines de virtualmin, en particulier dans le record SOA et NS. En plus, quand j'essaye d'attribuer comme dns primaire au virtualmin principale.info, il me repond comme-ça:
Primary nameserver cannot be resolved from the rest of the Internet : Download timed out
La je ni comprends plus rien
# DNS
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 1.
Ok, il y a encore quelqu’un qui se connecte sur un port aléatoire et lui il utilise le port 53, sauf que maintenant c'est en ipv6, je ne sais même pas s'il était activé. Comment je peux faire? Vraiment je ne sais plus quoi penser
[^] # Re: Quelques commentaires
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 1.
Ok,
j'ai vu l'histoire de cryptophp, mais je n'utilise ni joomla, ni wordpress, etc.
J'ai installé d'ailleur cryptophp hier je crois, car mon phpmyadmin me disait qu'il n'était pas activé, mais je suis passé par apt-get. Le serveur je l'ai installé il n'y a pas longtemps, après la découverte de la faille shellshock. Maintenant ce que je voudrais savoir c'est comment cette ou ces personnes ont pu acceder à mon phpmyadmin, et si en changeant tous les mot de passe je pourrais resoudre le problème. En plus il'y avait une version de phpmyadmin très ancienne. Si effectivement il utilise la faille du shell, comment je peux m'en apercevoir? J'ai un nom de domaine qui pointe vers l'addresse ip du serveur, et le serveur à plusieurs sous-domaines, comment je peux zapper le service bind? Sans compter que pour moi tout le système DNS est incomprensible
[^] # Re: Quelques commentaires
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 1.
Je ne sais pas ce que c'est. Je sais seulement que bind est un serrvice pour la géstion des DNS, mais après …
[^] # Re: Quelques commentaires
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 1.
Salut,
Merci pour tes conseilles.
Malheureusement l'https pour l'instant est loin de sa mise en place, ce n'est pas moi qui mets de l'argent, et celui qui devrais en mettre est radin, et avec an auto-certification les clients ne sauraient pas comment mettre une exception de sécurité dans le navigateur.
En effet fail2ban il est bien configuré, au moins pour ce qui concerne ssh,pam,ftp,smtp,imap,pop. Pour apache il est configuré mais pas pour chaque fichier de log des différents sous-domaines (pas utile pour l'instant) mais seulement pour les logs dans le fichier /var/log/apache*/*error.log. Par contre j'ai mis en place aussi un filtre pour l'accès sur l'application web, ça veut dire que si un client se trompe de 10 fois de mot de passe il est banni, et il faut qu'il m'appelle si c'est bien lui qui c'est trompé. Phpmyadmin je vais surement le virer, et la distribution est une debian7 à jours. Le serveur je viens de l'installer, j'ai juste récupéré les sous-domaines grâce au module de backup/restore de virtualmin, et j'ai changé tous les ancien mot de passe : connexion à les différentes bdd, accès de l'utilisateur de chaque sous-domaines, accès root pour administration, accès root bdd. Pour l'instant j'ai pu vérifier que quelqu’un est rentré depuis phpmyadmin, donc le problème , normalement, serait seulement au niveau des bdd. Donc en supprimant phpmyadmin et en changeant tous les mot de passe, et des bases, et des utilisateurs du programme, je devrai résoudre le problème. Par contre je ne comprends pas par exemple, que un adresse ip arrive à se connecter sur un porte aléatoire de mon serveur en faisant je ne sais pas quoi, en sachant seulement que lui (et pas moi) utilise le port 53.
# Ils sont rentrés
Posté par ggirodda . En réponse au message Protection contre différentes types d'attaques. Évalué à 2.
J'ai croisé les logs de apache du sous-domaine phpmyadmin avec les logs mysql, et il y a les mêmes adresses ip, peut être que c'est juste l'ancien développeur puisque il rentre aussi dans le programme en utilisant un des login qu'il a trouvé dans la base et il efface derrière sa trace dans la table des log des utilisateurs