[Toulibre] serveur web compromis

Geoffroy Youri B. mxondebian at free.fr
Ven 20 Mar 10:21:00 CET 2009


Salut Vincent,

Vincent Besse écrivait:
 > Soit je me suis fait "voler" le mdp root de cette machine
> (comment...mystère), soit je sais pas comment il a fait, toujours
> est-il que quelqu' un s' y est logué dessus samedi dernier et a déposé
> deux fichiers, un .rar de 150 Mo et un .tar.gz de 430 Mo,
> dans /var/www/. Je m' en suis aperçu par l' historique bash. J' ai
> apparemment bouché le trou (plusieurs tentatives infructueuses depuis
> la même adresse IP).

Comment as tu bouché le trou ?

Si tu ne l'as pas déjà fait je te conseille de fermé l'accès ssh pour root.
C'est d'ailleurs aussi une recommandation de la documentation Debian [0]
Cela n'aurait pas empêcher l'attaquant de charger ses fichiers en
compromettant un autre utilisateur, cependant l'accès au compte root compromet
toute la machine contrairement aux comptes de simples utilisateurs.
Si un simple utilisateur est compromis la machine peut être récupérable, si
root est compromis il est plus prudent de réinstaller.
Mais bon, la sécurité est un compromis que chacun doit trouver.

J'ai aussi un dédié sous Lenny attaqué assez régulièrement (fail2ban fait son
travail). Si tu découvres plus d'information sur la faille exploitée, je suis
curieux de savoir.

Geoff

[0]http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html#s5.1




Plus d'informations sur la liste de diffusion Toulouse-ll