Attaque graâve

[Ernesto]

Bonjour,

Voila ce qui m'arrive : mon serveur bastion sous linux s'est fait pirater graave. Un inconnu a installé un rootkit de folie et plein d'autre prog (un serveur ssh, un serveur iroffer, ...). J'ai maintenant un serveur tiptop plein de troyens et de services bizarres.

A l'origine mon serveur possédait :
Apache/2.0.47 sur 80 et 443
Exim 4.14 sur 25
OpenSSH_3.5p1 sur 22
BIND 9.2.3

IP=194.199.229.99
Bande passante max 10Mbit dans les deux sens (Renater).

Ma question :
Ya-t-il quelqu'un qui peut me dire par ou et comment le zozo est rentré ? Pour l'instant je n'ai rien touché à ma config.


Merci de votre aide.

[tomtom]

???
Comment veux-tu qu'on sache ????


t.

[Gm_Gari]

Y avait-il un firewall activé ?

[Tazman_FR]

tu avais un site en php avec une fonction include() et des variables non initialisées ?

[Ernesto]

Pour compléter :

Non il n'y a pas de firewall. Le serveur est dans une DMZ.

Oui il y a des scripts PHP avec des include mais register_global est OFF.

[Tazman_FR]

As tu retrouvé les fichiers du rootkit installé, et quel est à quel user / group il appartient ? -> dejà un debut de piste ?

[rodolphedj]

tu sauvegardes tous tes logs (/var/log/* -R) et tu analyses tout ça à tête reposée.

[Gandalf]

Pour compléter :

Non il n'y a pas de firewall. Le serveur est dans une DMZ.

Si ya une DMZ ya un firewall !

[LorD_JLP]

Salut tout le monde !

Je ne pense pas devoir vous rappeler (informer ??) des nombreuses vagues d'attaques survenues au cours des mois de novembre/décembre 2004, en provenance de nombreux payes d'Asie ?

Pour information : http://www.sfu.ca/~siegert/linux-security/msg00005.html

Patchez vos serveurs ssh ...

@+
LorD JLP...