Journal Server Hacked

• # hmmm....

  Posté par CopainJack (site web personnel, Mastodon) le 20 avril 2004 à 03:08. Évalué à 2.

  

  http://www.securityfocus.com/bid/4380(...)
  
  vulnerable:
  * phpBB Group phpBB 2.0 RC3
  * phpBB Group phpBB 2.0 RC2
  * phpBB Group phpBB 2.0 RC1
  * phpBB Group phpBB 2.0 Beta 1
  
  Ca date de mars 2002.
  
  Tu vas facturer tes heures aux gestionnaires du forum j'espère ? (sachant que la dernière version de phpBB est la 2.0.8a)

• # Re: Server Hacked

  Posté par Guillaume Plessis (site web personnel) le 20 avril 2004 à 07:48. Évalué à 0.

  

  Bon, ce n etait pas une faille intrinseque a PHP, qui est a jour sur ton serveur, j en suis certain :)
  
  Ce genre d attaque est de plus en plus repandue malheureusement... Pour limiter les degats : openbasedir, /tmp en noexec, patch openwall ou autre sur un noyau a jour...
  
  Bon courage pour tout remettre d applomb en tout cas.

  • [^] # Re: Server Hacked

    Posté par Benjamin (site web personnel) le 20 avril 2004 à 09:17. Évalué à 2.

    

    sur un hébergeur dont je sui l'un des admin on a trouvé un truc un peu simple et très fort contre ce genre de truc :
    
    chmod 0 /usr/bin/gcc
    
    avant de pouvoir compiler qqchose, il faut DEJA etre root ;)
    
    sinon, un php sans safe_mode par défaut (mode dans lequel phpbb fonctionne trrrès bien) c'est un peu dangereux non ? ;)
    
    sur ce bon courage, un rootkit c'est parfois plus difficile de s'en débarasser s'il n'est pas venu tout seul ...

    • [^] # Re: Server Hacked

      Posté par Guillaume Plessis (site web personnel) le 20 avril 2004 à 09:26. Évalué à 2.

      

      Le safe_mode, a off, ce n est pas forcement une vulnerabilite. Oui, ca facilite le boulot de l'attaquant, mais bon, quelques directives de conf bien placées permettent de s'en sortir.
      
      Ensuite, laisser des compilos sur une bécane ou il n'y en a besoin que rarement, il faut absolument éviter. Perso, je les installe et désinstalle selon les besoins, mais je ne les laisse pas trainer.
      
      PS : J oubliais : pas de support des modules dans le noyau, tout en dur, ca evite le chargement de modules malicieux. Sur ces bons conseils, messieurs, bonne journee

    • [^] # Re: Server Hacked

      Posté par jojo2002 le 20 avril 2004 à 09:52. Évalué à 1.

      

      Encore plus fort, tu désinstalles gcc qui n'a rien à foutre sur un serveur de prod :)

  • [^] # Re: Server Hacked

    Posté par Sylvestre Ledru (site web personnel) le 20 avril 2004 à 10:19. Évalué à 1.

    

    t'as pas lu mon message toi :)
    
    1) c'est pas mon serveur
    2) j'ai exposé certaines methodes de protection dans mon message :)

• # Re: Server Hacked

  Posté par Ackira le 20 avril 2004 à 11:35. Évalué à 1.

  

  http://sperwill-usa.com/acatalog/bacdoor.c(...)
  
  bindtty - like bindshell, but with tty
  
  Features:
  - it can handle any number of clients
  - allocates tty for each session
  - no using termios.h/tty.h: compiles on most of gccs
  - linux specific ;(
  
  Personnellement j'appelle pas ça un super rootkit ... Il aurait pu frapper bien plus fort (et au moins effacer tes logs).
  
  Ensuite écoute ce qu'on dit plus haut : gcc n'as rien à faire sur un serveur de prod, les failles sont connues depuis 2 ans, met ta machine à jour !!!
  
  J'imagine que tu as qd même tout corrigé.

  • [^] # Re: Server Hacked

    Posté par Sylvestre Ledru (site web personnel) le 20 avril 2004 à 12:41. Évalué à 1.

    

    Hé, faut lire les messages les gars :)
    
    Deja, le rookit est t0rn's v8.
    Le bindtty, c'est le script qu'il a utiliser pour ouvrir un shell.
    
    Ensuite, C'EST PAS MA MACHINE !!!
    Mes machines sont a jour, avec un apache/php configuré de maniere correct avec des sites mis a jour. merci pour elles

    • [^] # Re: Server Hacked

      Posté par Ackira le 20 avril 2004 à 14:58. Évalué à 2.

      

      OK, mea culpa, ça m'apprendra à lire...Désolé.

  • [^] # Re: Server Hacked

    Posté par Ben le 20 avril 2004 à 18:45. Évalué à 1.

    

    je vais peut être poser une question bête, mais qu'est ce que fait ce fichier sur un serveur comme sperwill-usa ? apparemment, je viens de regarder, ce site propose des accessoires pour le parapente, c'est pas trop un site sur lequel je m'aends à trouver bacdoor.c ...
    
    Alors ils se sont faits hacker eux aussi?

    • [^] # Re: Server Hacked

      Posté par Sylvestre Ledru (site web personnel) le 21 avril 2004 à 00:21. Évalué à 1.

      

      ou le hackeur y travaille :)
      au choix :)

• # Re: Server Hacked

  Posté par mcjyc (site web personnel) le 20 avril 2004 à 11:58. Évalué à 6.

  

  vu que ces mechants pirates pratiquent le scan à leur temps perdu, il y a un truc simple et sympa à rajouter dans sa conf d'apache.(testé sur apache 1.3.x)
  
  ServerSignature Off
  ServerTokens Prod
  
  comme ca, le mechant ne voit que "apache" au lieu de
  "apache ma vie, mon oeuvre, ma femme etc... ma distrib...blah blah blah..."
  
  comme ca, on peut avoir un systeme pas forcement à jour(ce qui n'est pas bien), mais on passe les mailles du filet de ceux qui cherchent par defaut un type de trou de secu...
  
  le cloaking device d'apache en quelque sorte...
  
  bon, c'etait mes deux centimes...
  
  bonne journee tout le monde.
  
  ps : pour ceux qui utilisent mozilla, je conseillerai l'utilisation de livehttpdheader... c'est super pratique...

  • [^] # Re: Server Hacked

    Posté par gradix le 20 avril 2004 à 19:40. Évalué à 3.

    

    LiveHTTPHeaders
    http://livehttpheaders.mozdev.org/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.