Re: [Toulibre] Mon serveur herbergé a Myrys à été piraté ...
As tu de bonnes raisons de vouloir enquêter sur le comment? De toute façon la conclusion sera de réinstaller de zero avec du durcissement système (hardening) et un parefeux configure le plus restrictif possible tel que iptables. Ensuite pour ce qui est de prévenir ce genre de situation tu peux rajouter une sonde réseau sur ton serveur tel que Snort avec des alertes par e-mails. On June 25, 2018 7:45:16 PM GMT+02:00, p kc via Toulouse-ll wrote: >Hello, > >Sur ce type d'analyse en général on fait une copie complète montée en >read >only sur un autre système sain avec un livecd. > >Je ne sais pas si il s'agit d'un hébergement de serveur physique en >l'occurrence, et la possibilité de faire une image complète pour >analyse. > >Le souci peut venir d'une faille ou d'une récupération de logins/mdp >pour >un accès distant. > >Et du coup l'analyse peut s'avérer très longue si le système est >toujours >actif. > >A voir aussi pour implémenter sur ton serveur un outil de scellement >type >'AIDE' (aide.sourceforge.net) afin d'être prévenu en cas d'ajout de >fichier >intempestif. > >Et du chroot pour compartimenter les différents démons et limiter les >possibilités d'accès au système. > >bon après-midi. > > >Le 24 juin 2018 à 15:48, Knarx via Toulouse-ll > a >écrit : > >> Hello team technique TTN et Toulibre, >> >> Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les >> passwords user/root, arrêté postfix pour bloquer l'envoie de spam, >mais >> j'ai du mal à investiguer plus globalement mon serveur pour savoir si >le pb >> est 100% résolu. >> >> L'un.e d'entre vous serait-il/elle motivé.e pour passer un petit >moment >> avec moi et me montrer les bases de l’interprétation des différents >logs et >> comprendre l'origine du pb ? et voir si tout est maintenant OK ? >> >> Ca pourrait être une petite heure de partage de connaissance et de >buvage >> de bières (ou autre) si ça interesse qqun.e :-) >> >> Merci, >> >> >> Knarx >> >> >> ___ >> Toulouse-ll mailing list >> Toulouse-ll@toulibre.org >> http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll >> -- Sent from my Android device with K-9 Mail. Please excuse my brevity.___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
Re: [Toulibre] Mon serveur herbergé a Myrys à été piraté ...
Hello, Sur ce type d'analyse en général on fait une copie complète montée en read only sur un autre système sain avec un livecd. Je ne sais pas si il s'agit d'un hébergement de serveur physique en l'occurrence, et la possibilité de faire une image complète pour analyse. Le souci peut venir d'une faille ou d'une récupération de logins/mdp pour un accès distant. Et du coup l'analyse peut s'avérer très longue si le système est toujours actif. A voir aussi pour implémenter sur ton serveur un outil de scellement type 'AIDE' (aide.sourceforge.net) afin d'être prévenu en cas d'ajout de fichier intempestif. Et du chroot pour compartimenter les différents démons et limiter les possibilités d'accès au système. bon après-midi. Le 24 juin 2018 à 15:48, Knarx via Toulouse-ll a écrit : > Hello team technique TTN et Toulibre, > > Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les > passwords user/root, arrêté postfix pour bloquer l'envoie de spam, mais > j'ai du mal à investiguer plus globalement mon serveur pour savoir si le pb > est 100% résolu. > > L'un.e d'entre vous serait-il/elle motivé.e pour passer un petit moment > avec moi et me montrer les bases de l’interprétation des différents logs et > comprendre l'origine du pb ? et voir si tout est maintenant OK ? > > Ca pourrait être une petite heure de partage de connaissance et de buvage > de bières (ou autre) si ça interesse qqun.e :-) > > Merci, > > > Knarx > > > ___ > Toulouse-ll mailing list > Toulouse-ll@toulibre.org > http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll > ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
Re: [Toulibre] Mon serveur herbergé a Myrys à été piraté ...
Le 24/06/2018 à 15:48, Knarx via Toulouse-ll a écrit : Hello team technique TTN et Toulibre, Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les passwords user/root, arrêté postfix pour bloquer l'envoie de spam, mais tout effacer (sauver les données avant) et réinstaller avec une distribution à jour et un bon pare feu... peu importe la faille jdd -- http://dodin.org ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
Re: [Toulibre] Mon serveur herbergé a Myrys à été piraté ...
On Sun, 24 Jun 2018 09:48:54 -0400 Knarx via Toulouse-ll wrote: > Hello team technique TTN et Toulibre, > > Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les > passwords > user/root, arrêté postfix pour bloquer l'envoie de spam, mais j'ai du mal à > investiguer > plus globalement mon serveur pour savoir si le pb est 100% résolu. > > L'un.e d'entre vous serait-il/elle motivé.e pour passer un petit moment avec > moi et me > montrer les bases de l’interprétation des différents logs et comprendre > l'origine du > pb ? et voir si tout est maintenant OK ? > > Ca pourrait être une petite heure de partage de connaissance et de buvage de > bières (ou > autre) si ça interesse qqun.e :-) Je ne peux pas t'aider avec les logs, mais une méthode en attendant, c'est de refaire ton serveur à neuf en local, puis télécharger tout le serveur distant dans un répertoire temporaire, et lancer un "diff -aur serveur1 serveur2 > fichiers-diff.txt" (met le chemin complet de chaque en argument, à la place de "serveur1" et "serveur2" et ensuite, regarder dans un éditeur de textes pour voir si tu trouves quelque chose de marquant dans les différences. En faisant ainsi pour un site wordpress un jour, j'ai trouvé un fichier en .php dans le "wp-content/uploads" qui était louche, et qui s'est avéré être un programme malveillant. Bon courage ! -- https://orditux.org https://orditux.org/aol ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
[Toulibre] Mon serveur herbergé a Myrys à été piraté ...
Hello team technique TTN et Toulibre, Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les passwords user/root, arrêté postfix pour bloquer l'envoie de spam, mais j'ai du mal à investiguer plus globalement mon serveur pour savoir si le pb est 100% résolu. L'un.e d'entre vous serait-il/elle motivé.e pour passer un petit moment avec moi et me montrer les bases de l’interprétation des différents logs et comprendre l'origine du pb ? et voir si tout est maintenant OK ? Ca pourrait être une petite heure de partage de connaissance et de buvage de bières (ou autre) si ça interesse qqun.e :-) Merci, Knarx___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll