Destruction de serveur par attaque externe ?

[jibe]

Le 10 Février dernier, on m'appelait pour intervenir sur un serveur en panne. Il s'agissait d'une vieille e-smith 4.12 montée sur un vieux serveur HP de récupération. Le serveur ne finissait plus sa séance de boot... Tentative d'utilisation de la disquette de secours et de celle de diags HP, pas possible de booter. Je soupçonne le serveur d'avoir des problèmes hard et comme un PIII 400 était dispo, j'y réinstalle la 4.12 (dépannage urgent nécessaire et rien de mieux sous la main que le CD qui avait servi à la première install). <BR> <BR>Et voilà que ce Vendredi 20, on m'appelle à nouveau pour me dire que rien ne fonctionne. Je vais voir et constate que plusieurs services ne fonctionnent plus. Je décide de rebooter le serveur, mais le reboot plante ! Même problème qu'avec le serveur HP ! <BR> <BR>Je viens de lire <!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=12628" TARGET="_blank">ce sujet</A><!-- BBCode u2 End --> dans lequel Grand-Pa parle de gros problèmes avec les versions 5.12 et antérieures. Est-il possible qu'une attaque quelconque puisse avoir un tel effet ? J'ai monté le disque du HP sur une autre bécane pour éplucher les logs, qui s'arrêtent tous au 8 Février et montrent une attaque massive ce même jour...

[moktar]

Je sais que ca t'aidera pas, mais c'est pour ce genre de raisons que j'utilise toujours des *nix maison ... <BR> <BR>Serieusement, ils disent quoi tes logs ? <BR> <BR>Si c'est une attaque, bouche le trou ... <BR> <BR>C'est bete a dire mais c'est tellement vrai ... <BR> <BR>

[jibe]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-21 23:23, moktar a écrit: <BR>Si c'est une attaque, bouche le trou ... <BR> <BR>C'est bete a dire mais c'est tellement vrai ... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <IMG SRC="images/smiles/icon_lol.gif"> Sûr que je vais boucher le trou ! Peut-être pas avec un *nix maison, mais au moins avec une version à jour ! <BR> <BR>Mon post avait pour but de savoir si cela paraissait possible qu'une attaque externe ait de tels effets ou si je dois chercher ailleurs. Une attaque interne, y compris directement sur le serveur ne parait pas impossible non plus, même si les logs ne signalent pas de login depuis Juin dernier... Mais avant de lancer des accusations, ou de chercher d'autres causes, j'aimerais savoir s'il parait concevable qu'une attaque extérieure puisse aller jusqu'à casser le système de la sorte. Si c'est possible, ce sera presque certainement l'explication. Sinon, ce sera sûr qu'il faut chercher ailleurs...

[moktar]

A moins qu'il y ait un gros trou dans la securite, une attaque externe ne provoquerait qu'un DOS, auquel cas un reboot suffit. <BR> <BR>Si le reboot ne suffit pas c'est que l'"attaque" a été mechante. <BR> <BR>Donc soit un gros trou dans la sécurité soit un p'tit malin en interne soit les deux. <BR> <BR>La prochaine fois mets l'audit en marche et securise la machine correctement ( de la facon la plus parano possible ) <BR> <BR>On a beau connaitre avoir de l'expérience et être sure de soi. <BR>Il y a toujours un p'tit malin qui penseras à ce à quoi on as pas pensé... <BR> <BR>TESTER ET APPROUVER PAR MOKTAR <BR> <BR> <BR>PS: Boucher les trous consiste à fermer tous les breches ( memes potentielles ) qui ont ou aurait pu etre utilisé et quelle que soit la nature de ces breches ( software hardware, IP, applicatif, etc ... )( et y en a ................................ ) <BR> <BR> <BR>Dans mon precedent POST je ne denigrais pas SME ( je connais pas ) <BR>Mais j'ai aucune confiance dans ce que je ne maitrise pas à, au moins, 99%, le 1% restant est le risque que j'accepte de prendre. <BR> <BR>

[Rbill]

Il sert à qui ton serveur?

[moktar]

?

[Grand-Pa]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>Mais j'ai aucune confiance dans ce que je ne maitrise pas à, au moins, 99%, le 1% restant est le risque que j'accepte de prendre.</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Que l'on maîtrise parfaitement ou pas l'OS installé sur son serveur, si l'on ne soucie pas des mises à jours de sécurité, le problème est le même. <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>L'un des travaux essentiels d'un admin, c'est de se tenir au courant de la découverte de failles dans les services fournis par ses serveurs. <BR>Or, depuis la dernière mise à jour de la v4.1.2 (en novembre 2001 !!!), de nombreuses failles ont été découvertes dans plusieurs éléments du système, à commencer par OpenSSH et ProFTPd, deux services souvent ouverts côté Internet sur SME (ils ne le sont pas par défaut)... <BR>Il est d'ailleurs très probable que ce soit grace à ces failles connues que le serveur a été attaqué. <BR> <BR>Bref, pour administrer un système, il faut connaitre les éléments qui tournent dessus, chercher régulièrement si des failles ont été découvertes, lire les annonces du développeur du système (e-smith.org ou contribs.org maintenant), installer les mises à jour disponibles, installer ou mettre à jour le système à chaque sortie d'une nouvelle version (en cas de doute, on peut l'essayer sur un banc de test avant de la mettre en production), etc. <BR> <BR>En plus de tout ça, comme l'a souligné moktar, il est bon d'avoir un ou plusieurs système(s) d'audit, de détection de tentatives d'intrusion, etc. <IMG SRC="images/smiles/icon_wink.gif">

[jibe]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-22 00:34, Rbill a écrit: <BR>Il sert à qui ton serveur? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif"> En quoi cela a-t-il une importance ici <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Bon, ta question a peut-être un rapport avec MON serveur dont j'ai parlé parfois qui est aussi en 4.12... était, car je viens de le remplacer par FreeEOS. Le serveur dont il est question ici en est un autre que j'avais moi-même mis en service peu après la sortie de la 4.12, mais dont je n'ai pas la responsabilité et dont je ne suis pas l'admin... <BR> <BR>Merci à Moktar et Grand-Pa pour leurs explications. Grand-Pa, es-tu d'accord avec moktar pour dire qu'une attaque externe n'aurait pas pu casser le système à ce point ? <BR> <BR>En fait, ce qui m'épate, c'est que tout était fermé sur l'extérieur, et SSH (ainsi que telnet) n'était même pas ouvert sur l'intranet. Pourtant, voici quelques lignes du log secure : <BR> <BR>Feb 4 02:06:01 e-smith xinetd[661]: START: ftp pid=30235 from=211.167.0.50 <BR>Feb 7 02:11:30 e-smith xinetd[661]: START: ftp pid=5171 from=211.167.0.50 <BR>Feb 8 03:24:50 e-smith xinetd[661]: START: auth pid=7428 from=195.54.102.4 <BR>Feb 8 03:24:50 e-smith xinetd[661]: START: auth pid=7429 from=195.54.102.4 <BR>Feb 8 03:26:21 e-smith xinetd[661]: START: auth pid=7430 from=195.54.102.4 <BR>Feb 8 03:26:23 e-smith xinetd[661]: START: auth pid=7431 from=195.54.102.4 <BR>Feb 8 03:27:12 e-smith xinetd[661]: START: auth pid=7432 from=193.254.240.246 <BR> <BR>Je ne relève rien au niveau d'une attaque ou d'un bidouillage interne. Par contre, je suis un peu surpris de voir que personne ne s'est loggé depuis le 11 Juin... Quelqu'un aurait-il effacé ses traces ? <BR>

[Grand-Pa]

Une attaque, qu'elle interne ou externe, si quelqu'un a réussi à pénétrer dans le système (et on peut imaginer que c'est avec un compte d'administration), il est libre d'y faire tout ce qu'il veut. Donc, de modifier ou détruire tout ce qu'il souhaite. <BR> <BR>Par ailleurs, dans tes logs, on voit des accès FTP et si je me souviens bien, une grosse faille a été découverte dans ProFTPd il y a quelques mois (d'ailleurs, je viens de vérifier, il y a eu un message d'avertissement sur <!-- BBCode u2 Start --><A HREF="http://www.e-smith.org/article.php3?sid=75&mode=threaded&order=0" TARGET="_blank">e-smith.org</A><!-- BBCode u2 End -->) <BR> <BR>On en revient à ce qu'on disait, il ne faut pas dormir sur ses lauriers et patcher tous les systèmes qui peuvent atteints par des personnes malveillantes (internes ou externes). <BR> <BR>_________________ <BR>Quel que soit le grade dont je suis affublé dans ce site, je ne suis que Maître... <BR>Et me v'la plus gradé qu'mon chef, en plus ! <IMG SRC="images/smiles/icon_eek.gif"><BR><BR><font size=-2></font>

[GrosQuick]

Salut a tous, <BR>je ne vais pas apporter beaucoup d'eau au moulin technique de ce qui a deja ete dit, c'est plutot pour un temoignage : <BR>je me suis fait exploser ma 5.5 il y a peu dans tout a fait les memes conditions et avec la meme parano de fermeture ET en ayant les mises a jour de faites... ce ne fut pas une garantie et de ttes facons il n'y en a pas et on le sait des qu'on installe sciemment une SME. <BR>Il n'en demeure pas moins que ca fait un choc de voir sa becanne ainsi flinguee un jour vers 4h du mat' avec comme derniere adresse tracable un obscur point d'acces ADSL maison en Republique Tcheque (ca aurait ou etre ailleurs la n'est pas le sujet). <BR>Pareil : plus de services (un ps -ef livre une liste de 2 services en route !!), la becanne ne peut ni s'eteindre ni s'allumer et un who donne deux root sur 2 tty (alors que j'etais seul devant le malade) et un user inconnu present en derniere liste du etc/passwd (j'ai boote sur Knoppix pour aller lire les logs et autres mais pas su ecrire... je sais je suis nul). <BR>E-Smith... ton univers impitoya-able (musique a chopper sur la BOF Dallas) <BR> <BR>Les joies du Net... <BR> <BR>A+

[mad_dog]

C'est serveur était-il des passerelles ?? <BR> <BR>des points d'accès INTERNET ??? <BR> <BR>présent dans une DMZ ??? <BR> <BR>Je pense que dans les cas cités, les précautions minimes de sécurité non pas été tenus !!

[jibe]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-23 14:53, mad_dog a écrit: <BR>C'est serveur était-il des passerelles ?? <BR> <BR>des points d'accès INTERNET ??? <BR> <BR>présent dans une DMZ ??? <BR> <BR>Je pense que dans les cas cités, les précautions minimes de sécurité non pas été tenus !! <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Dans mon cas, Grand-pa l'a souligné, oui, les mises à jour n'ont pas été faites et la sécurité effectivement pas assurée. <BR> <BR>Oui, le serveur était passerelle, mais sans accès extérieurs autorisés. <BR> <BR>Bon. D'après la note de e-smith.org indiquée par Grand-Pa, Rien d'étonnant à ce que quelqu'un ait pu pénétrer de l'extérieur. <BR> <BR>Maintenant, ce que dit GrosQuick m'inquiète pour la suite. Si je mets à jour, vais-je retrouver le même problème ? Ce qu'il décrit est à très peu de chose près ce qui m'est arrivé, mais lui a une 5.5, censée avoir été corrigée contre ce problème de proftpd... <BR> <BR>Alors, je fais quoi ? Je monte une IPCop ? Le problème est que j'ai besoin d'un serveur http pour l'intranet et que les gars ne vont pas vouloir mettre deux bécanes pour leur accès internet... <BR>

[jibe]

Pour diverses raisons, je pensais réinstaller une FreeEOS. J'aurai donc l'équivallent d'une SME 5.5. Y a-t-il une grosse différence entre la 5.5 et la 6 au niveau sécurité ? Si oui, cela a-t-il été corrigé dans FreeEOS ?

[Muzo]

La différence : <!-- BBCode u2 Start --><A HREF="http://gddistrowatch.tuwien.ac.at/table.php?distribution=esmith" TARGET="_blank">ici</A><!-- BBCode u2 End --> <BR> <BR>La majeur étant l'utilisation de iptables dans 5.6 au lieu de ipchain dans la 5.5. <BR> <BR>Le reste ca se voit tout seul dans le tableau <IMG SRC="images/smiles/icon_smile.gif">

[Muzo]

De mémoire il y'a des failles corrigées sur la 5.6 et non la 5.5. Notamment la faille ssh.