Me suis fait hacker mon dedié

thebarbarius · 22/03/2011, 04h53

Bonjours,

J'ai a ma disposion un serveur dedié loué chez OVH.

J'ai mon parfeu activé.

Ce matin je me leve et je vois que ma base de donné SQL server R2 a été suprimé.

En regardant les log de sql je me rends compte que lqu'un c'est introduit par le compte SA.

Comment c'est possible, comment me proteger ?

Merci de m'aider c'est vraiment, car encore une fois il a reussi a reintroduire malgrès que j'ai changé mon mot de passe du compe SA

Elboras · 22/03/2011, 09h16

sauf ton respect, comment tu veux qu'on devine sans information comment il a pu s'introduire ?

Tu donne des information sur la finalité de son exploitation, et tu veux qu'on en devine la méthode entreprise ?
Après selon ce que tu dis, il y à des chances pour que ce soit une vulnérabilité dans ton serveur sql (tes softwares sont ils tous a jour ?)

La sécurité informatique c'est vaste, et s'il y à des gens dont c'est le métier, c'est parce que on ne peut pas venir sur un forum et dire "on m'a hacké, ca vient d'ou" ?

Vous pouvez faire ce qu'on appel des analyse post attaques / forensic afin d'essayer de déterminer qui et comment on vous à piraté. Essayez de vous documenter sur le forum.

Bon courage

thebarbarius · 22/03/2011, 11h15

Tous ce que je sais, c'est que le gars c'est connecter a SQL SERVER R8 via le compte SA.

C'est tous ce que je sais.

ram-0000 · 22/03/2011, 12h15

Peut être qu'il n'est pas arrivé par SQL Server mais par un ssh ou telnet ou rdp sur le serveur et qu'ensuite, il a rebondit sur la base de données.

Autre chose, le mot de passe du compte SA est il simple ou compliqué. Pourquoi est ce que cela ne serait pas l'application qui est derrière la base qui a un bug et qui détruit la base de données.

Quelle est la liste des services visibles depuis internet ? C'est avec cette liste qu'il faut travailler pour savoir (ou tenter de deviner) par quoi est rentré un possible agresseur.

Au fait, le service SQL Serveur est il visible depuis Internet ?

Si tu dis Sql Server, c'est que c'est Windows l'OS derrière, quelle version, quel SP, est il à jour des mises à jour de sécurité ?

thebarbarius · 22/03/2011, 14h51

Mais meme en passant ssh ou telnet commentil aurai pu avoir les log de connexion ?

J'ai windows 2008 web edition tous les SP et mise a jour.

unnamed-anonymous · 10/06/2011, 08h51

Salut,
Comme disait ram-0000 ce sont les services qui tournent sur ton serveur et qui sont accessibles depuis internet qui sont importants, c'est sur eux que tu devrais te concentrer !
Si l'OS est à jour alors c'est que l'un de ces services présente surement une vuln que l'attaquant (s'il s'agit d'une attaque) a su exploiter. Commence donc par lister les services accessibles depuis le net et voit ensuite s'ils sont tous à jour, et s'il n'existe pas des vulnérabilités avérées dessus.

22/03/2011, 04h53	#1
thebarbarius Membre habitué Inscription : octobre 2008 Messages : 745 Détails du profil Informations forums : Inscription : octobre 2008 Messages : 745 Points : 139 Points : 139	Me suis fait hacker mon dedié Bonjours, J'ai a ma disposion un serveur dedié loué chez OVH. J'ai mon parfeu activé. Ce matin je me leve et je vois que ma base de donné SQL server R2 a été suprimé. En regardant les log de sql je me rends compte que lqu'un c'est introduit par le compte SA. Comment c'est possible, comment me proteger ? Merci de m'aider c'est vraiment, car encore une fois il a reussi a reintroduire malgrès que j'ai changé mon mot de passe du compe SA
	00

22/03/2011, 12h15	#4
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 471 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 471 Points : 10 993 Points : 10 993	Peut être qu'il n'est pas arrivé par SQL Server mais par un ssh ou telnet ou rdp sur le serveur et qu'ensuite, il a rebondit sur la base de données. Autre chose, le mot de passe du compte SA est il simple ou compliqué. Pourquoi est ce que cela ne serait pas l'application qui est derrière la base qui a un bug et qui détruit la base de données. Quelle est la liste des services visibles depuis internet ? C'est avec cette liste qu'il faut travailler pour savoir (ou tenter de deviner) par quoi est rentré un possible agresseur. Au fait, le service SQL Serveur est il visible depuis Internet ? Si tu dis Sql Server, c'est que c'est Windows l'OS derrière, quelle version, quel SP, est il à jour des mises à jour de sécurité ? __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	00

22/03/2011, 09h16	#2
Elboras Membre confirmé Edouard Viot Ingénieur sécurité Inscription : juillet 2007 Messages : 193 Détails du profil Informations personnelles : Nom : Edouard Viot Âge : 25 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : juillet 2007 Messages : 193 Points : 262 Points : 262	sauf ton respect, comment tu veux qu'on devine sans information comment il a pu s'introduire ? Tu donne des information sur la finalité de son exploitation, et tu veux qu'on en devine la méthode entreprise ? Après selon ce que tu dis, il y à des chances pour que ce soit une vulnérabilité dans ton serveur sql (tes softwares sont ils tous a jour ?) La sécurité informatique c'est vaste, et s'il y à des gens dont c'est le métier, c'est parce que on ne peut pas venir sur un forum et dire "on m'a hacké, ca vient d'ou" ? Vous pouvez faire ce qu'on appel des analyse post attaques / forensic afin d'essayer de déterminer qui et comment on vous à piraté. Essayez de vous documenter sur le forum. Bon courage
	00

22/03/2011, 11h15	#3
thebarbarius Membre habitué Inscription : octobre 2008 Messages : 745 Détails du profil Informations forums : Inscription : octobre 2008 Messages : 745 Points : 139 Points : 139	Tous ce que je sais, c'est que le gars c'est connecter a SQL SERVER R8 via le compte SA. C'est tous ce que je sais.
	00

22/03/2011, 14h51	#5
thebarbarius Membre habitué Inscription : octobre 2008 Messages : 745 Détails du profil Informations forums : Inscription : octobre 2008 Messages : 745 Points : 139 Points : 139	Mais meme en passant ssh ou telnet commentil aurai pu avoir les log de connexion ? J'ai windows 2008 web edition tous les SP et mise a jour.
	00

10/06/2011, 08h51	#6
unnamed-anonymous Membre du Club Autre Inscription : juin 2011 Messages : 49 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Autre Secteur : Conseil Informations forums : Inscription : juin 2011 Messages : 49 Points : 61 Points : 61	Salut, Comme disait ram-0000 ce sont les services qui tournent sur ton serveur et qui sont accessibles depuis internet qui sont importants, c'est sur eux que tu devrais te concentrer ! Si l'OS est à jour alors c'est que l'un de ces services présente surement une vuln que l'attaquant (s'il s'agit d'une attaque) a su exploiter. Commence donc par lister les services accessibles depuis le net et voit ensuite s'ils sont tous à jour, et s'il n'existe pas des vulnérabilités avérées dessus.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email