Salut a tous,
Quelle journee, j'ai decouvert qu'un des serveurs que j'administre
(entre 2 coups de feu C++) a ete hacke. Pas cool. Malgre un firewall que
je croyais beton, un petit salopard a reussi a se glisser dans le
systeme et a installer se petites saloperies. Resultat des courses une
machine reformatee, reinstallee, resecurisee (j'espere bien cette fois).
Pour votre info, si un jour vous voyez la ligne suivante dans
/etc/rc.d/rc.local:
/usr/X11R6/lib/X11/da/mujex/exploitz/fuku -s
ben vous saurez qu'un petit malotru (fuku = fuck you) a fait un passage,
remplace vos wrapers TCP, mail, named, ps, top, et quelques autre
joyeuseries, et que la reaction sera de sauter sur le premier CD de
distro Linux qui passe, histoire de tout reinstaller.
Ah oui, inutile de faire un 'ls -al /usr/X11R6/lib/X11' vous ne verez
pas 'da', ni 'mujex' dans 'da'. Par contre la completion de noms par
2xTAB les affichera (cd /usr/X11R6/lib/X11/da[TAB][TAB]).
Puree, un firewall 'ipchains' reject all, suivi de regles
d'autorisations precises, un serveur SSH, plus un DNS et du NAT (non,
pas de telnetd, rlogind) et le petit salopard a tout de meme reussi a se
glisser a l'interieur. Parraitrait que c'est possible en utilisant un
time-out de 5min sur des ports UDP restes ouvert. Heureusement la
machine n'avait que des Win98 croches derriere. Mais rageant tout de
meme.
Morale pour les admins: Malgre les configs GUI, Webmin, etc, lancez de
temps a autre un oeil a votre rc.local.
Markus
--
A designer knows he has achieved perfection not when there is
nothing left to add, but when there is nothing left to take away.
Antoine de Saint-Exup�ry
-----------------------------------------------------------------
Markus SCH�TZ
8, Ch. des Aub�pines Phone: ++41 21 646 9362
CH-1004 Lausanne mailto:[EMAIL PROTECTED]
Switzerland http://www.geocities.com/~schutzm
-----------------------------------------------------------------
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
