Bonsoir à tous, je viens de subir un piratage sans vraiment savoir d'ou ca vient le hackeur n'a apparemment rien changé sur le serveur, na rien effacé mais à juste laissé son pseudo au moment de se connecter et à changer les mots de passe de tout les utilisateurs j'ai du passer par le manager d'ovh pour pouvoir me reconnecter

Pourtant j'ai fail2ban, iptables, rkhunter, et un mot de passe long avec caractere spéciaux, maj et nombre

les services que j'utlise sont: apache2, mysql, phpmyadmin, webmin (que je viens de supprimer), monit, sendmail et un daemon

j'ai desactivé proftpd, bind9

j'ai regarder les logs et il y a rien de suspect, pareille pour l'historique des commandes, de ceux qui se sont connecté ou dernier fichier modifié (il y a que mes traces)

Par contre aprés avoir installé lynis (http://korben.info/faire-audit-linux.html) j'ai eu quelques warning

[14:45:57] Warning: Nameserver 127.0.0.1 does not respond [test:NETW-2704] [impact:L]
[14:46:09] Warning: Root can directly login via SSH [test:SSH-7412] [impact:M]
[14:46:17] Warning: PHP option register_globals option is turned on, which can be a risk for variable value overwriting [test:PHP-2368] [impact:M]
[14:46:20] Warning: klogd is not running, which could lead to missing kernel messages in log files [test:LOGG-2138] [impact:L]
[14:46:29] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]

Nameserver je comprend pas d'ou ca provient, pour l'accé root j'ai laisser expré pour pas devoir retaper 2 mot de passe (mais comme j'ai dit mon mdp root est compliqué donc comment il aurai pu le bruteforce aussi vite ?) pour le register_globals je viens de le mettre à off, j'ai aussi installé NTP

J'ai aussi ajouter dans le php.ini

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

Toutes ces modifications je les ai faites aprés le hack donc pour l'instant je sais vraiment pas comment il à fait pour rentrer, je compte tout reinstaller demain mais je voudrais avant comprendre comment à t il fait pour eviter la meme erreur

vous savez qu'elle sont les démarches à faire pour savoir comment il à fait pour accédé au serveur ? Vous pensez qu'il à pu s'introduire sur le serveur via une fail sur mon site, webmin, phpmyadmin ou apache ?

Voici mon iptables

root@srv:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: UPDATE seconds: 180 hit_count: 4 name: SSH--rsource side: source
           tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: SET name: SSH--rsource side: source
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5565
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8070
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4598
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:11554
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9333
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9334
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9433
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9434
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9533
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9534

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5565
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8070
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9333
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9334
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9433
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9434
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9533
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9534

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Merci d'avance pour votre aide

-
Edité par Naiit 26 août 2015 à 23:15:49

A mon avis il y a de grandes chances qu'il soit passé par le web, regarde plutôt les logs apache. Qu'est-ce que tu fais tourner comme sites ?

Sinon, ta machine est corrompue donc soit tu trouves exactement ce qui s'est passé, tu vérifies qu'ils n'y a pas de backdoor d'installé et tu corriges la faille, soit tu réinstalles tout à zéro, mais dans ce cas il faudra quand même comprendre ce qui s'est passé pour ne pas que cela ne se reproduise.

Et ne t'inquiète pas, cela arrive à tout le monde et plus souvent qu'on ne le pense.

Salut Elalitte j'ai verifié les logs apache , syslog, fail2ban, phpmyadmin et je vois rien d'anormal, backdoor c'est les rootkit ? J'ai cherché avec Rkhunter avec la commande

rkhunter -c --enable all --disable none

Voici le rapport

[12:37:50]   /usr/bin/unhide.rb                              [ Warning ]
[12:37:50] Warning: The command '/usr/bin/unhide.rb' has been replaced by a scri                                                                             pt: /usr/bin/unhide.rb: Ruby script, ASCII text
[12:41:17]   Checking running processes for deleted files    [ Warning ]
[12:41:18] Warning: The following processes are using deleted files:
[12:41:29]   Checking loaded kernel modules                  [ Warning ]
[12:41:29] Warning: No output found from the lsmod command or the /proc/modules                                                                              file:
[12:41:29]   Checking kernel module names                    [ Warning ]
[12:41:29] Warning: The kernel modules directory '/lib/modules' is missing or em                                                                             pty.
[12:41:42]   Checking for passwd file changes                [ Warning ]
[12:41:42] Warning: User 'bind' has been removed from the passwd file.
[12:41:42] Warning: User 'dkim-filter' has been added to the passwd file.
[12:41:42] Warning: User 'mikel' has been added to the passwd file.
[12:41:42] Warning: User 'ntp' has been added to the passwd file.
[12:41:42] Warning: User 'opendkim' has been removed from the passwd file.
[12:41:42]   Checking for group file changes                 [ Warning ]
[12:41:42] Warning: Changes found in the group file for group 'sudo':
[12:41:42] Warning: Group 'bind' has been removed from the group file.
[12:41:42] Warning: Group 'dkim-filter' has been added to the group file.
[12:41:42] Warning: Group 'mikel' has been added to the group file.
[12:41:43] Warning: Group 'ntp' has been added to the group file.
[12:41:43] Warning: Group 'opendkim' has been removed from the group file.
[12:41:43]   Checking if SSH root access is allowed          [ Warning ]
[12:41:43] Warning: The SSH and rkhunter configuration options should be the sam                                                                             e:
[12:41:44]   Checking /dev for suspicious file types         [ Warning ]
[12:41:44] Warning: Suspicious file types found in /dev:
[12:41:59]   Checking version of GnuPG                       [ Warning ]
[12:41:59] Warning: Application 'gpg', version '1.4.12', is out of date, and pos                                                                             sibly a security risk.
[12:41:59]   Checking version of OpenSSL                     [ Warning ]
[12:41:59] Warning: Application 'openssl', version '1.0.1e', is out of date, and                                                                              possibly a security risk.
[12:42:00]   Checking version of OpenSSH                     [ Warning ]
[12:42:00] Warning: Application 'sshd', version '6.0p1', is out of date, and pos                                                                             sibly a security risk.

Pour le site il est codé main en php j'ai pris le minimum de risque les includes sont prédéfinie, j'utilise pas les fonctions exec, system, pas de formulaire d'upload, j'utilise pdo pour eviter l'injection et j'ai pas ajouté de module supérflus (par contre j'avais allow_url_include et registre_globals activé ainsi que disable_function incomplete)

je cache aussi le phpmyadmin et la partie admin du site dans un dossier protegé par htaccess derriere une longue url, mes dossiers sont en 755, fichier 644 htaccess 444 et je me connect toujours en sftp 

le probléme pourrais venir d'une des fonctions que j'ai désactivé dans le premier poste ou de curl ?

Merci pour ton aide

Hum, d'après ce que tu dis tu as quand même pris pas mal de précautions.

Ton site a du traffic ?

Car si tout ce que tu dis est mis en place, ça ne ressemble pas à une attaque automatique mais quand même à quelqu'un qui aurait fait des efforts pour pirater. De plus, si on n'a pas de traces dans les logs c'est que vraiment la personne s'est pouillée pour effacer ses traces (ce qui est bizarre vu qu'elle change le banner de login...)

Bref, cela ne semble pas simple ton histoire. Si tu n'as pas de traces dans les logs, cela va être problématique de trouver ce qui s'est passé

Oui un peu de traffic mais peut étre qu'il voulait me faire savoir que le serveur est piratable tout en effacant ces traces va savoir ou peut étre qu'il à réussi à rentrer grace à webmin

Enfin je verrais je vais tout reinstaller et evité de mettre webmin

Derniere question stp tu connais un programme qui avertis par mail des changement de fichier sensible genre le fichier passwd etc ? Parceque j'ai activé l'alerte par mail de la connection ssh mais ca ne ma meme pas prévenu de son intrusion 

elalitte a écrit:

A l'époque il y avait un outil qui s'appelait tripwire qui faisait ça. Sinon recherche sur contrôle d'intégrité disque.

Tu en as plusieurs ici dans la section Applications

https://en.wikipedia.org/wiki/File_integrity_monitoring

Salut j'ai déja installé tripwire comme indiqué ici https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps mais tu me conseille le quel dans la liste 

Ok je laisse tripwire alors

merci pour ton aide je passe le sujet en résolu