Serveur HS [RESOLU]

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Serveur HS [RESOLU]

Messagepar bertr@nd » 10 Mai 2011 20:43

Bonjour à tous,

voilà la situation :
config : sme server 7.5.1 sur HP ML350 G3 mode serveur only en DMZ
utilisation : messagerie, appli web

lundi 9 mai perte du signal du serveur sur nagios avant les sauvegardes du soir...
mardi 10 mai matin accès messagerie,intranet/extranet,ssh,webmin impossible...

sur la console serveur, après reboot :
pas de pb apparent de disque dur
multiple messages d'erreurs au démarrage (fichier introuvable):

/var/log/httpd/error.log
/var/empty/sshd/dev/log
rm ne peut pas supprimer le dossier /run/dovecot/login(de mémoire...)
/var/log/sa/sa09
/var/run/utmp
/var/run/getkey-done
les dossiers : www,clamav,empty,ftp,local,nis,run dans le dossier var ont complètement disparu du serveur


démarrage sur cd en mode rescue :
remise en place de tous les fichiers et dossiers manquant ...(pas complètement sûre...)

redémarrage : moins de messages d'erreurs
toujours "rm ne peut pas supprimer le dossier /run/dovecot/login"(de mémoire...)
puis blocage sur "10fix_privilege_tables"
ssh refonctionne
connexion avec putty
changement du propriétaire sur /var/run/mysqld/mysqld.pid

redémarrage:
toujours "rm ne peut pas supprimer le dossier /run/dovecot/login"(de mémoire...)
ssh ok
intranet ok
webmin ok
pas de webmail > "La connexion est refusée"
pas d'imap > thunderbird:"temps limite de connexion dépassé..."
pas d'accès wan ou de dns ? test wget sur mirror.contribs.org > echec temporaire dans la résolution du nom
pas de yum > yum check-update > cannot find valide baseurl for repo :smeaddons

voilà, donc j'ai cloné les disques du serveur sur un disque ide
j'ai lancer une sauvegarde sur disque-dur usb
j'ai fait un dump de mes bases mysql et copié les ibays
je suis entrain de faire une sauvegarde par le webmin sur "l'ordinateur local"

après je sais pas trop, je vais tenter une restauration de la bande de vendredi soir...

voilà c'était juste pour partager mes misères, si quelqu'un à une idée, pourquoi pas !

à plus tard
Dernière édition par bertr@nd le 12 Mai 2011 19:12, édité 1 fois au total.
bertr@nd
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 08 Juin 2008 11:45
Localisation: nièvre

Re: Serveur HS

Messagepar sibsib » 10 Mai 2011 21:15

Hello,

Je trouve que çà ressemble à un serveur qui a été compromis, çà... La disparition des fichiers logs, notamment.

Tu peux tenter un 'signal-event post-upgrade' suivi d'un signal-event reboot : Cà régénère un paquet de fichiers de configuration, et çà peut éventuellement aider.

Ceci dit, si tu as été 'hacké', remettre la machine en ligne n'est pas forcément une très bonne idée... Peux tu bloquer l'accès depuis Internet à ta machine ?

Ah, au fait, celui là :
Code: Tout sélectionner
rm ne peut pas supprimer le dossier /run/dovecot/login(de mémoire...)

me semble normal, il me semble qu'il ajoute : c'est un répertoire

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Re: Serveur HS

Messagepar jibe » 11 Mai 2011 01:06

Salut,

sibsib a écrit:Ah, au fait, celui là :
Code: Tout sélectionner
rm ne peut pas supprimer le dossier /run/dovecot/login(de mémoire...)

me semble normal

Je confirme que j'ai ça sur toutes les SME que j'ai installées (au moins depuis la version 7). Je ne sais plus s'il est question de répertoire ou non, mais c'est sans importance.

Perso, j'irais plus loin que sibsib : il semblerait bien que ce serveur ait été bricolé par un quelconque intrus, et dans le doute je ferais une ré-installation à partir du CD : en choisissant l'option mise à jour (de tête... C'est peut-être "réparation", à ne pas confondre avec le mode rescue :wink: ), tu conserveras ta config et tes données. Simplement, les exécutables (qui ont pu être corrompus par le pirate) et autres paquets seront réinstallés. Une fois cela fait, tu continues avec les préconisations de sibsib, à savoir le post-upgrade. Avant, tu peux aussi faire un signal-event console-save, ça ne mange pas de pain et ça peut aussi réparer quelques éléments de config.

Parallèlement, il faudrait essayer de déterminer ce qui s'est passé, et colmater la brêche si c'est une intrusion ! Les logs du firewall pourraient déjà te fournir quelques renseignements intéressants :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Re: Serveur HS

Messagepar bertr@nd » 11 Mai 2011 08:55

RE,

La nuit a été agitée ....

@sibsib
J'ai essayé 'signal-event post-upgrade' suivi d'un signal-event reboot', mais aucun effet ...

@jibe
J'ai tenté une réinstallation "upgrade" a partir du CD, elle ce passe sans erreur mais elle ne reinstall rien du tout, les pbs reste identique ...

donc sinon ma restauration à partir de la bande de vendredi n'a pas fonctionnée, je tente actuellement une restauration de smeserver.tgz en local sur une vm fraichement installée pour voir si tout fonctionne, si c'est le cas je ferais la même chose sur le serveur réel ...

à plus tard
bertr@nd
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 08 Juin 2008 11:45
Localisation: nièvre

Re: Serveur HS

Messagepar bertr@nd » 11 Mai 2011 12:07

la suite :

installation vm sme 7.5.1
config réseau+ssh
copie sur / de smeserver.tgz
signal-event pre-restore
tar -C / -xzvf smeserver.tgz
signal-event post-upgrade; signal event reboot
changement conf ip
rm smeserver.tgz

erreur d'importation mysql de ma base intranet au démarrage : modification de la ligne en défaut et importation ok
yum local install phpmyadmin puis signal-event post-upgrade; signal event reboot


tests ssh,imap,smtp local,webmail,intranet,extranet ok

donc je passe au serveur physique ...

à plus tard ...
bertr@nd
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 08 Juin 2008 11:45
Localisation: nièvre

Re: Serveur HS

Messagepar bertr@nd » 12 Mai 2011 19:11

salut à tous,

donc la réinstallation du serveur c'est bien passée : tout fonctionne correctement depuis...


je cherche encore la cause dans les logs du pare-feu et de l'ancienne install ...(ce qu'il en reste)
il faut que je prenne le temps de revoir la politique de sauvegarde pour optimiser le temps de remontage du serveur en cas de panne.

merci de votre participation
bertr@nd
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 08 Juin 2008 11:45
Localisation: nièvre

Re: Serveur HS

Messagepar sibsib » 12 Mai 2011 20:54

Hello,
bertr@nd a écrit:donc la réinstallation du serveur c'est bien passée : tout fonctionne correctement depuis...

Bonne nouvelle !

bertr@nd a écrit:je cherche encore la cause dans les logs du pare-feu et de l'ancienne install ...(ce qu'il en reste)

Par contre, là tu me fais peur : tu ne connais pas la cause, qui ressemble à une attaque, et tu as remis le serveur en ligne dans les mêmes conditions ? Si c'est le cas, il devient en effet urgent que tu apprennes à sauvegarder vite : en général, une attaque réussie est toujours suivie...
Tu devrais, de mon point de vue, bloquer à peut près tout ce qui vient de l'extérieur jusqu'à comprendre.

Bonne chance tout de même ! (Et belle réparation, par le fait, bravo)

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Re: Serveur HS [RESOLU]

Messagepar bertr@nd » 13 Mai 2011 13:59

Salut,

Pour l'instant je ne vois que ces 2 messages arrivés dans la boite de l'admin le lendemain du problème ...
Code: Tout sélectionner
This is an automatically generated mail message from mdadm running on XXXXX.XXXX.XX.
A DegradedArray event has been detected on md device /dev/md1.

This is an automatically generated mail message from mdadm running on XXXXX.XXXX.XX.
A DegradedArray event has been detected on md device /dev/md2.

Pourtant aucun pb de disque suite à la réinstallation complète... Un changement de disque dur est prévu ( je l'avait déjà demandé il y a quelque temps mais sans succès, aujourd'hui c'est bizarre pas de problème pour la commande...)

Concernant les sauvegardes je trouve dommage qu'il ne soit pas possible de sauvegarder les contribs et autres paquets optionnel que l'on install... car il faut tout remonter manuellement donc perte de temps et redémarrage incessant...Ce n'est certainement pas possible pour garantir la cohérence de l'installation en cas de réinstallation....

@+
bertr@nd
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 08 Juin 2008 11:45
Localisation: nièvre


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité