Discussion :

[thibaut06]

Bonsoir,
en me connectant en shh sur mon serveur je me suis rendu compte en consultant les dernieres manipulations effectués qu'un hacker avait pu se connecter.

En effet, plusieurs répertoire on ete consulté ainsi que l'upload d'un fichier qui semble être une solution pour prendre des droits mysql: l'adresse du ficher uploadé est le suivant:

http://hg04.de/sql.txt

J'ai un serveur chez dedibox avec Debian Sarge, et ispconfig pour la gestion de mes sites. Je ne m'y connais pas trop en sécurité mais par contre, j'ai tout de meme pris les précautions conseillées un peu partout (register global a off), protection des requetes mysql...

Quelqu'un a t'il ete confronte a ce genre d'intrusion?
Quels sont encore les risques? (le hacker peut il toujours se connecter)
Y'a t'il de bon logiciels open source de preferences me permettant de me proteger contre ce genre d'intrusion, et vais je ralentir mon serveur si j'utilise ce genre de soft?
Que dois je faire maintenant pour m'assurer qu'aucune degradation a eu lieu et que personne ne squatte mon serveur?

Désolé pour toute ces questions mais c'est la premiere fois que je suis confronte a ce genre de problemes donc je n'ai pas l'experience.

Cordialement et merci d'avance pour votre aide

Thibaut

[Ceylo]

en me connectant en shh sur mon serveur…

Je suppose que tu veux parler de SSH. Sache que si tu utilises SSH 1, des problèmes de sécurité ont été découverts. Je te conseille donc d'utiliser SSH 2.

Quant au fichier uploadé, c'est plutôt inquiétant, mais c'est ça pourrait être pour une raison assez simple. Celui qui a envoyé ça s'est connecté en tant qu'anonyme, donc ça voudrait dire que tu n'as pas désactivé le compte anonyme, et qu'en plus tu as autorisé l'upload avec ce compte. Si ce n'est pas ça, c'est beaucoup plus grave je pense. Personnellement, j'ai déjà eu des logs étranges, et je me suis rendu compte après coup, que c'était à cause d'un logiciel de test de sécurité de mon propre serveur, mais jamais rien de bien sérieux, et surtout, aucune upload.

Déjà, petit conseil, n'exécute pas ce script avant de l'avoir entièrement lu et compris (oui je sais il est assez long, moi même je ne l'ai pas lu en entier). Ce script, après un premier aperçu, semble permettre à n'importe quel utilisateur utilisant cette page, d'obtenir des informations sur ton serveur (d'après plusieurs indices : en-tête de téléchargement, récupération de données dans ta ou tes bases MySQL, récupération de données relatives au serveur, etc ). Si tu veux avoir un simple aperçu graphique de la page, bien que ce ne soit pas parfait, tu peux la renommer comme étant une page HTML (au lieu de PHP) et la visualiser, cela peut peut-être t'apporter quelques informations, mais surtout, ne lance la page PHP en aucun cas ! C'est peut-être ce qu'attend la personne qui a envoyé ça.

Pour vérifier qu'il n'y a pas eu de dégradations, je pense que la façon la plus efficace est de vérifier à la main tous les répertoires accessibles, et si le fichier a été uploadé dans un répertoire qui n'est pas censé être accessible, même en connaissant ton identifiant et mot de passe, tu as vraiment de quoi t'inquiéter. Si c'est le cas, revois les fichiers de configuration de tes serveurs, et configure les en mode parano, et renseigne toi dans les docs des logiciels serveurs concernés, afin de ne pas laisser de trou. Je ne connais pas de meilleur méthode, si ce n'est utiliser une connection sécurisée (dont SSH, SFTP, HTTPS), que de configurer correctement ses serveurs.

Sinon, pour te protéger, tu as évidemment besoin d'un pare-feu, enfin je suppose que tu en as déjà un, et que tu ne laisses ouverts que les ports nécessaires.

J'espère que cela répond en partie à ton problème. N'étant pas expert en sécurité, et n'ayant jamais été confronté à ce cas, je ne peux pas t'en dire plus.

Bonne chance

[thibaut06]

Merci pour ta réponse,
j'ai bien cherché sur le serveur et il semble que le fichier n'y soit plus, j'ai fait un locate mysql.txt et ça n'a rien donné, en plus j'ai bien regardé mes bases de données et rien ne smelbe avoir été modifié.

Y'a t'il une possibilité pour un hacker de masquer un compte afin que je ne puisse pas le voir?

Concernant ton conseil de passé en SSH2, je vais faire le nécessaire, de plus en faisant des recherches, j'ai vu qu'il existe un module pour apache ModSecurity, sais tu si c'est un bon module et si ça n'alourdit pas trop le serveur.

Ps: j'ai vu a la fin du script que c'était la Rush Security team qu'il l'avait edité, et en faisant des recherches j'ai vu que c'était un groupe qui attaqué généralement les forums phbb par injection mysql, donc je vais bien reverifiés toutes mes requêtes.

En tout cas merci pour ta rapidité

Bonne fin de soirée
Thibaut

[Ceylo]

Salut,

J'ai oublié de préciser, lorsque je parlais du compte anonyme que cela concernait le cas ou ma supposition était fausse, puisque à ma connaissance il n'y a pas de compte anonyme pour les connections SSH, seulement en FTP.

Je ne pense pas que la hacker puisse masquer le compte, si ce n'est en masquant le dossier du compte concerné. Personnellement je suis sous Mac, et c'est un peu différent : il n'est pas nécessaire d'avoir un dossier associé à un compte. Je ne pense pas que ça soit le cas sous Windows (je pense que c'est le système que tu utilises).

Pourrais-tu préciser les différents serveurs présents sur ton ordinateur. Tu sembles avoir un serveur SSH et un serveur HTTP (Apache) accompagné de PHP et MySQL, mais n'as-tu aucun autre serveur ?

Concernant le module SSL de Apache (mod_ssl), ne t'inquiète pas, il n'alourdit pas ton serveur, il n'est juste pas très simple à configurer (enfin si j'en crois mon expérience).

Bonne chance