mysql.init failed

[shwing]

Bonjour tout le monde.

Un super poste pour ce début de semaine.

Cet après-midi, un gay luron c'est amusé à hacker ma petite sme. Ma page index.php dans le primary n'était plus mon Joomla! (1.0.11 Stable [ Sunbow ] 28 August 2006 20:00 UTC) pas du totu à jour, masi une simple page avec how-ha-ha-ha en tilte et un cadre popur y acceuillir dead.jpg qui lui n'est pas dans l'ibay. En voyant ceci un pti coup de 'reconfiguration' je retrouve mon ibay dasn son état. Mais...

Au demarrage d'sme je vu ceci et retrouvé dans les logs:

Code: Tout sélectionner

Apr 17 19:37:23 sme mysql.init: Loading 21horde.mysql_set_password.572 into mysql failed
Apr 17 19:37:29 sme rc.e-smith: Démarrage de mysql.init : failed

Code: Tout sélectionner

Apr 17 19:37:21 sme mysql.init: Loading 10fix_privilege_tables into mysql
Apr 17 19:37:22 sme mysql.init: Loading 10fix_privilege_tables into mysql succeeded
Apr 17 19:37:22 sme mysql.init: 
Apr 17 19:37:22 sme mysql.init:
Apr 17 19:37:22 sme mysql.init: Loading 20mysql_migrate_horde into mysql
Apr 17 19:37:22 sme mysql.init: Loading 20mysql_migrate_horde into mysql succeeded
Apr 17 19:37:22 sme mysql.init:
Apr 17 19:37:22 sme mysql.init: Loading 21horde.mysql_set_password into mysql
Apr 17 19:37:23 sme mysql.init: Loading 21horde.mysql_set_password into mysql succeeded
Apr 17 19:37:23 sme mysql.init:
Apr 17 19:37:23 sme mysql.init: Loading 21horde.mysql_set_password.572 into mysql
Apr 17 19:37:23 sme mysql.init: execvp: Permission non accordée
Apr 17 19:37:23 sme mysql.init: Loading 21horde.mysql_set_password.572 into mysql failed
Apr 17 19:37:23 sme mysql.init: 
Apr 17 19:37:23 sme mysql.init:
Apr 17 19:37:23 sme mysql.init: Loading 30horde_mysql_create_tables into mysql
Apr 17 19:37:23 sme mysql.init: Loading 30horde_mysql_create_tables into mysql succeeded
Apr 17 19:37:23 sme mysql.init: 
Apr 17 19:37:23 sme mysql.init:
Apr 17 19:37:23 sme mysql.init: Loading 40horde_mysql_create_indexes into mysql
Apr 17 19:37:25 sme mysql.init: Loading 40horde_mysql_create_indexes into mysql succeeded
Apr 17 19:37:25 sme mysql.init: 
Apr 17 19:37:25 sme mysql.init:
Apr 17 19:37:25 sme mysql.init: Loading 40mysql.create.turba into mysql
Apr 17 19:37:25 sme mysql.init: Loading 40mysql.create.turba into mysql succeeded
Apr 17 19:37:25 sme mysql.init:
Apr 17 19:37:25 sme mysql.init: Loading 50horde-2.2_to_3.0 into mysql
Apr 17 19:37:25 sme mysql.init: Loading 50horde-2.2_to_3.0 into mysql succeeded
Apr 17 19:37:25 sme mysql.init: 
Apr 17 19:37:25 sme mysql.init:
Apr 17 19:37:25 sme mysql.init: Loading 50turba_upgrade into mysql
Apr 17 19:37:27 sme mysql.init: Loading 50turba_upgrade into mysql succeeded
Apr 17 19:37:27 sme mysql.init: 
Apr 17 19:37:27 sme mysql.init:
Apr 17 19:37:27 sme mysql.init: Loading 55horde-3.0_to_3.1 into mysql
Apr 17 19:37:27 sme mysql.init: Loading 55horde-3.0_to_3.1 into mysql succeeded
Apr 17 19:37:27 sme mysql.init: 
Apr 17 19:37:27 sme mysql.init:
Apr 17 19:37:27 sme mysql.init: Loading 56horde-3.1_alter_table into mysql
Apr 17 19:37:28 sme mysql.init: Loading 56horde-3.1_alter_table into mysql succeeded
Apr 17 19:37:28 sme mysql.init:
Apr 17 19:37:28 sme mysql.init: Loading 57turba_mysql_reset_addressbook_pref into mysql
Apr 17 19:37:28 sme mysql.init: Loading 57turba_mysql_reset_addressbook_pref into mysql succeeded
Apr 17 19:37:28 sme mysql.init:
Apr 17 19:37:28 sme mysql.init: Loading 60migrate-imp-to-turba into mysql
Apr 17 19:37:29 sme mysql.init: Loading 60migrate-imp-to-turba into mysql succeeded
Apr 17 19:37:29 sme mysql.init: 
Apr 17 19:37:29 sme mysql.init:
Apr 17 19:37:29 sme mysql.init: Loading 77horde_mysql_update_privs into mysql
Apr 17 19:37:29 sme mysql.init: Loading 77horde_mysql_update_privs into mysql succeeded
Apr 17 19:37:29 sme mysql.init:
Apr 17 19:37:29 sme rc.e-smith: Démarrage de mysql.init : failed

Je sais que mon phpmyadmin n'est plus très à jour, les dernières version fournit par mastersleepy n'ont pas été appliqué.
Mon webmail fonctionne, je me logg dans les boites existantes.

Donc que puis-je faire ?
Installer la dernière version de phpmyadmin de MS dasn risque de tout planter, continuer d'éplucher les logs (dur-dur) protéger mon ibay-joomla-pasàjour- via htaccess.

merci.

[jibe]

Salut,

AMHA, tu as deux approches possibles :

- Etudier comment quelqu'un a pu prendre la main sur ta SME pour faire ce defacing, et de là voir comment combler la faille dont il a tiré profit et réparer ce qu'il a cassé,

- Faire toutes les modifs et mises à jour nécessaires sur ton réseau, en espérant (ce dont je suis presque convaincu) que ça ramènera un fonctionnement correct et le niveau de sécurité normal de ta SME.

Je ne m'étends pas sur ce qu'il conviendrait de faire au niveau de ton réseau : on m'accuserait encore de troller et on a eu l'occasion d'évoquer le sujet. Voir aussi les mises à jour nécessaires. Si tu utilises joomla, je pense qu'il n'y a pas de problème : si je ne me trompe pas, les gars qui développent joomla travaillent sur SME. Je pense qu'ils ont fait tout le nécessaire pour s'assurer de la sécurité et de la stabilité du système.

Reste PhpMyAdmin... Mais comme on le déconseille sur FreeEOS (certaines des raisons ne s'appliquent cependant pas à SME), je connais très mal. Simplement, j'ai appris à m'en passer et ne m'en porte pas plus mal ! Cela dit, il ne devrait absolument pas être possible de s'en servir depuis l'extérieur, et si tu y as bien pris garde il ne devrait pas être à l'origine de l'attaque...

[Cool34000]

Salut.

Sans vouloir jouer les rabat joie, la dev team déconseille fortement d'utiliser des webapps dans des ibays (peut être pour ce genre de problèmes ?)

Stephan Noble (Dungog) a prit le temps de faire un rpm tout pret pour Joomla (qui s'installe dans /opt).
Si tu veux que Joomla soit ton site principal (je suppose que c'est pour cela que tu l'as mis dans Primary) il te suffit de faire une redirection php (un tout petit fichier .php dans Primary et le tour est joué !)

Pour ce que est de phpMyAdmin, je te conseille de garder ce rpm à jour, les derniers correctifs étaient des mises à jour de sécurité... Enfin si tu n'as pas besoin d'accéder à phpMyAdmin de l'extérieur, restreint lui l'accès au LAN !

[shwing]

Merci pour vos réponses.

Je n'ai pas détaillé tout ce qui c'est passé, mais là ça craint un peu

En ayant fait fait une 'reconfiguration' je retrouve mon ibay principal en état. Environ après 2 heures minumum et 8 max, SME ne reponds plus à rien (ping - ssh - web - ftp - en mode root sur le srv), donc pas trop de soluce = reset ( et check du disque à chaque demarrage)

Maintenant ce que je ne pige pas, comment est-ce possible d'arriver à $%#&! à 'genoux' sme en ayant surement exploité une faille via mon joomla! ? (enfin c'est ce que j'en deduit) Surtout que depuis hier ma SME n'est plus visible sur le net. Le dns dynamique est désactivé, le port forwarding est coupé, et je change d'ip tout les jours. Ce qui m'ammène à la déduction suivant: Il doit y avoir, malgrès la 'reconfiguration' une mer.douille quelque part qui traine dedans.

Je n'ai pas encore eu le temps de regarder dasn mysql, si les databases ont été populés.

Si vous êtes inspirés, ne vous jenez pas de laisser vos commentaires, merci.

[Cool34000]

Salut.

As tu une activité anormale sur le serveur ? (charge proc anormale, disque dur travaillant en permanance, charge RAM anormale, le réseau qui discute sans raison...)

As tu lancé tenté de lancer RKHUNTER manuellement ?
Que dis le rapport antivirus de cette nuit ?

Si j'ai bien compris, tu as reconfiguré ton serveur, ce qui a du réinitialiser les droits dans Primary et recréer tous les fichiers de conf (tu es ainsi assuré de remettre la conf d'aplomb si jamais le pirate avait réussi a modifier un de ces fichiers...) C'est ca ?
En supposant que le pirate ne connaisse pas SME et donc le système de templates, il te reste donc les fichiers de démarrage à vérifier (qui je crois ne sont pas générés par des templates ?)

Ma courte expérience de Linux et ma longue expérience de Windows te dirait de prendre ton CD et... Mais la je pense en Windowsien de base !


As tu désinstallé ou mis à jour phpmyadmin ?
http://forums.ixus.fr/viewtopic.php?t=3 ... sc&start=6
http://forums.ixus.fr/viewtopic.php?t=3 ... sc&start=7


Enfin juste une remarque : le fait que tu aies coupé ton dyndns n'est pas forcemment bloquant pour le pirate, je connais quelques trojan qui sont capables de s'envoyer l'IP à chaque changement...

[shwing]

As tu une activité anormale sur le serveur ?
Non, les graphs et top ne montrent pas une surcharge.


As tu lancé tenté de lancer RKHUNTER manuellement ?
MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 3

Que dis le rapport antivirus de cette nuit ?
Non, il est desactivé.

Si j'ai bien compris, tu as reconfiguré ton serveur, ce qui a du réinitialiser les droits dans Primary et recréer tous les fichiers de conf (tu es ainsi assuré de remettre la conf d'aplomb si jamais le pirate avait réussi a modifier un de ces fichiers...) C'est ca ?
Exacte.

En supposant que le pirate ne connaisse pas SME et donc le système de templates, il te reste donc les fichiers de démarrage à vérifier (qui je crois ne sont pas générés par des templates ?)
crontab, et quoi d'autre ?

As tu désinstallé ou mis à jour phpmyadmin ?
Ben si mysql a été polué, le faite de virer phpmyadmin ne changera rien.

[Cool34000]

Re !

Pour les fichiers de démarrage, je pensais à des fichiers comme /etc/rc.d/rc.local ou encore /etc/rc.d/rc.sysinit (il doit y en avoir d'autres !)

Pour le scan antivirus, je t'invite à le lancer manuellement !

Pour phpmyadmin, si c'est lui le point d'entré alors la 1ère chose à faire est de fermer le point d'entrée ! Cela ne réparera pas les choses s'il a touché aux bases ca c'est sur... Mais déja ca l'empèchera de recommencer !

[MasterSleepy]

Salut,

Personnellement si une machine est compromise,
- je l'isole totalement.
- je cherche d'ou la faille vient.
- je réinstalle la machine
Je n'essaye pas de la refaire fonctionner.

C'est peut-être inutile, mais pour moi c'est plus sur.

A+,
MasterSleepy.
http://www.vanhees.cc
Index des contribs pour SmeServer

[shwing]

Mais déja ca l'empèchera de recommencer !
Ben du fait que j'ai l'ip, j'ai banni large avec un x.x.x.x/8

je réinstalle la machine
Ben c'est ce que je pense aussi, malgrès que cela ne m'enchante pas, mais pas vraiment le choix !


ce qui m'embête un peu, est de perdre mon no-ip, car mes mails sont basés sur un no-ip.

[MasterSleepy]

Fais attention en bannissant les IP.
Par example, mon FAI me fourni des adresses de temps en temps en 80.x.x.x mais aussi 161.x.x.x !
Donc sil il est sur une IP dynamique, il pourra revenir.
Note: Un mail a son FAI lui fera le plus grand bien

Je ne comprends pas pourquoi tu perdrais no-ip si tu réinstalles ta machine.
Quand elle est réinstallé tu réinstalles le service noip.

A+,
MasterSleepy.
http://www.vanhees.cc
Index des contribs pour SmeServer

[shwing]

ben mon no-ip, il le connait. Ou en tout cas je pars de ce principe.
Donc je vais reinstallé le tout, mais si pour me refaire hacker la machine car il me retrouve avec no-ip, et bien non.

Il est vrai que le provider a surement plusieurs range d'ip, a moi de les trouver et de les blacklister.

Quant à faire un mail au provider... je ne suis pas sur que cela fasse quelque chose. Je suis en Suisse, cela vient de pas très <-- loin --> donc pas le même pays, je ne vais pas posé plainte, donc conclusion ... pas grand chose.

Quoi qu'il en soit, j'en tire déjà plusieurs leçons, dont celle que je ne suis pas assez parano, ou pas assez regardant sur la 'sécurité'.

..m'enfin, il y a bien pire sur cette terre!!

[jibe]

Salut,

Y a-t-il quelque chose que je n'ai pas suivi ? J'ai l'impression que tu sais qui (enfin... quelle IP) t'a piraté, mais je n'ai pas vu où tu disais avoir localisé l'origine des problèmes constatés...

Apparemment, il y a un truc bizarre : d'un defacing hier, on en arrive aujourd'hui à une bécane qui est complètement dans les choux... Tu n'avais pas tout dit hier, Ok, mais ça ne semblait quand même pas si catastrophique qu'aujourd'hui... Y aurait-il eu de nouvelles attaques ?

Et là, j'en reviens à nos discussions quand tu es passé à la maison : nous ne nous sommes pas étendu sur les détails, mais je pressentais deux grosses faiblesses dans ton réseau : la wifi et ton montage avec Ipcop. Pour Ipcop+SME, tu sais ce qu'il en est : rebouclage DMZ sur LAN, je ne sais pas si cela facilite ou non le piratage de la SME, mais c'est quand même à éviter. Quand à la wifi... tu dis avoir des clés WAP en béton, mais est-ce bien sûr qu'elles n'ont pas pu être divulguées ? As-tu monté un serveur Radius ? Bref, ne regarde pas que l'extérieur de ton réseau

Les dégats m'ont en effet l'air bien importants pour être faits par un inconnu sur Internet... Est-il possible d'en faire tant, simplement en exploitant une faille de PhpMyAdmin ou de Joomla ? Soit le mec est très costaud, et dans ce cas c'est surprenant qu'il s'amuse à te détruire ainsi, soit le piratage lui a été facile...

Bon courage !

[shwing]

Oui Jibe, j'ai une IP donné par awstat. Dans les stats, j'ai quelques ip de ci de là qui se connecte avec une page vue ou deux.
Là c'est carrément (de tête) 1400 hits pour +/- le meêm nombres de page vue. Je n'ai pas de connaissances si proches en FR qui visite autant ma sme.


Y aurait-il eu de nouvelles attaques ?
Non je ne pense pas. J'ai desactivé le dns dynamique, donc impossibilité de me retrouver, à moins que ma sme ne communique elle-même mon ip à l'exterieur. Mais le defacning est revenu. Malgrès des reconfig.

Coup de bol pour mon explication 2 jours avant le debut de cette histoire j'ai reinstallé ipcop, enfin embcop. Là sans avoir installé la bleu-wifi.

Moi non lpus je n'arrive pas à comprendre comment d'un joomla!& php/ puisse tout me nicker.

Maintenant elle boot même plus. J'ai du faire une dizainne de reboot sauvages, et là elle se bloque un peu n'importe ou au demarrage.


Du cou pje sais ce que je vais faire ce week-end dommage qu'il va faire beau.

[Cool34000]

Moi j'enverrai quand même une plainte au service abuse de son FAI si tu as son IP...
Certains FAI n'hésitent pas à couper la ligne si c'est une récidive.

[jibe]

Salut,

C'est effectivement très curieux que tant de problèmes puissent arriver simplement par une faille joomla... Si tu es presque sûr que c'est par là que l'attaque s'est faite, tu devrais en parler aux gars de joomla... Je pense qu'il y a quelque chose à faire rapidement !

D'autant que j'en reviens toujours au même : un vrai bon pirate ne fait généralement pas tant de dégats, surtout gratuitement. En général, c'est plutôt l'oeuvre d'un petit c** qui se croit malin parce qu'il connait un ou deux trucs pour profiter de failles faciles...