Salut la liste !
J'aurai besoin de conseil.
On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est
un serveur web Ubuntu 8.04.4 LTS.
Voici les symptômes :
- des fichiers php sont modifiés tous les 4h :
la balise php ouvrante est remplacée par :
tcp1 0 192.168.2.2
Le 06/15/11 10:15, Romaric DEFAUX a écrit :
Salut la liste !
Bonjour
J'aurai besoin de conseil.
On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu).
C'est un serveur web Ubuntu 8.04.4 LTS.
Arg!
Est-ce que vous auriez des conseils à donner ?
A mon avis :
Arrêter les base
Le Wed, 15 Jun 2011 10:15:04 +0200,
Romaric DEFAUX a écrit :
> Salut la liste !
>
> J'aurai besoin de conseil.
> On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu).
> C'est un serveur web Ubuntu 8.04.4 LTS.
> Voici les symptômes :
>
> - des fichiers php sont modifiés tous les 4h
Le mercredi 15 juin 2011, Romaric DEFAUX a écrit :
> J'aurai besoin de conseil.
> On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est
> un serveur web Ubuntu 8.04.4 LTS.
[cut ...]
> On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou un
> wordpress), du coup
Le 15140ième jour après Epoch,
Romaric DEFAUX écrivait:
> Est-ce que vous auriez des conseils à donner ?
> Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé
> du réseau.
Première erreur... Faut le débrancher tout de suite du réseau, et mettre
à la place une gentille page disant
Bonjour,
Le mercredi 15 juin 2011, Romaric DEFAUX a écrit...
> - des fichiers php sont modifiés tous les 4h :
Donc possible crontab. Ce que j'ai repéré récemment dans la machine de
quelqu'un. Un dossier /home/test (utilisateur test créé par le
propriétaire de la machine) corrompu par /hom
Le 15/06/2011 10:47, bruno.deb...@cyberoso.com a écrit :
Le Wed, 15 Jun 2011 10:15:04 +0200,
Romaric DEFAUX a écrit :
Salut la liste !
J'aurai besoin de conseil.
On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu).
C'est un serveur web Ubuntu 8.04.4 LTS.
Voici les symptômes :
Le jeudi 16 juin 2011, Romaric DEFAUX a écrit :
> C'est bon on a trouvé d'où ça vient. Et c'est moins grave que ce qu'on
> pensait (ouf !). Le serveur n'a pas été compromis (on en est sûr à 99%),
> le pirate aurait plutôt utilisé une faille dans un phpmyadmin.
> La ligne
> if(isset(\$_REQUEST['a
Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit :
>[…]
> Cette écriture dans le fichier
> "/etc/phpmyadmin/config.inc.ini" est-elle possible dans bien
> des serveurs (ayant phpmyadmin) ?
>
> Si oui, quelle parade ?
Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine
de prod.
Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit :
> Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit :
> > "/etc/phpmyadmin/config.inc.ini" est-elle possible dans bien
> > des serveurs (ayant phpmyadmin) ?
> > Si oui, quelle parade ?
>Ne pas avoir un phpmyadmin ouvert à tout vent sur une
On 16/06/2011 18:16, cor...@free.fr wrote:
Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit :
Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit :
"/etc/phpmyadmin/config.inc.ini" est-elle possible dans bien
des serveurs (ayant phpmyadmin) ?
Si oui, quelle parade ?
Ne pas avoir un php
On Thu, 16 Jun 2011 18:16:15 +0200, cor...@free.fr wrote:
> Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit :
> > Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit :
> > > "/etc/phpmyadmin/config.inc.ini" est-elle possible dans bien
> > > des serveurs (ayant phpmyadmin) ?
> > > Si oui, qu
Le jeudi 16 juin 2011, bruno a écrit :
> On 16/06/2011 18:16, cor...@free.fr wrote:
> > Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit :
> >> Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit :
> >>> "/etc/phpmyadmin/config.inc.ini" est-elle possible dans bien
> >>> des serveurs (ayant ph
On 16/06/2011 18:38, cor...@free.fr wrote:
Le jeudi 16 juin 2011, bruno a écrit :
On 16/06/2011 18:16, cor...@free.fr wrote:
Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit :
Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit :
"/etc/phpmyadmin/config.inc.ini" est-elle possible dans b
On Thu, 16 Jun 2011 18:25:16 +0200, bruno wrote:
...
>
> Après, toutes les restrictions imaginables : par IP, par certificats,
^^^
> sur un autre port ...
^^^
Mauvaises solutions: une adresse IP ça se spoof, et changer de
Le jeudi 16 juin 2011, bruno a écrit :
> > Comment modifier le nom ? :
> > http:///phpmyadmin => mongestionnairedebase ?
> http:///phpmyadmin =>
> http:///mongestionnairedebase ?
> ce n'est qu'un exemple. Bruno
Va t-on y arriver ? :-)
Comment dire à phpmyadmin que l'adresse Web est dorénavant :
On Thu, Jun 16, 2011 at 07:19:44PM +0200, cor...@free.fr wrote:
> > http:///phpmyadmin =>
> > http:///mongestionnairedebase ?
> > ce n'est qu'un exemple. Bruno
>
> Va t-on y arriver ? :-)
>
> Comment dire à phpmyadmin que l'adresse Web est dorénavant :
> http:///mongestionnairedebase
Dans la co
On Thu, Jun 16, 2011 at 06:48:39PM +0200, Jean-Yves F. Barbier wrote:
> > Après, toutes les restrictions imaginables : par IP, par certificats,
>^^^
> > sur un autre port ...
> ^^^
>
> Mauvaises solutions: une adresse IP ça
Le jeudi 16 juin 2011, Yves Rutschle a écrit :
> On Thu, Jun 16, 2011 at 07:19:44PM +0200, cor...@free.fr wrote:
> > > http:///phpmyadmin =>
> > > http:///mongestionnairedebase ?
> > > ce n'est qu'un exemple. Bruno
> > Va t-on y arriver ? :-)
> > Comment dire à phpmyadmin que l'adresse Web est do
Le 15141ième jour après Epoch,
cor...@free.fr écrivait:
> Le jeudi 16 juin 2011, Yves Rutschle a écrit :
>> On Thu, Jun 16, 2011 at 07:19:44PM +0200, cor...@free.fr wrote:
>> > > http:///phpmyadmin =>
>> > > http:///mongestionnairedebase ?
>> > > ce n'est qu'un exemple. Bruno
>
>> > Va t-on y arr
On Thu, Jun 16, 2011 at 10:46:25PM +0200, cor...@free.fr wrote:
> Je ne vois aucune directive "Alias ...",
> ni dans "apache2.conf", ni dans "000-default" ...
> de mon serveur et pourtant "phpmyadmin" fonctionne très bien
> en mode distant (http:///phpmyadmin)
Ça serait plutôt dans conf.d, mais c
Le Thursday 16 June 2011 22:46:25 cor...@free.fr, vous avez écrit :
[...]
> Je ne vois aucune directive "Alias ...",
> ni dans "apache2.conf", ni dans "000-default" ...
> de mon serveur et pourtant "phpmyadmin" fonctionne très bien
> en mode distant (http:///phpmyadmin)
>
> Ça m'intéresse pour "b
Le jeudi 16 juin 2011, Gilles Mocellin a écrit :
> Le Thursday 16 June 2011 22:46:25 cor...@free.fr, vous avez écrit :
> > Je ne vois aucune directive "Alias ...",
> > ni dans "apache2.conf", ni dans "000-default" ...
> > de mon serveur et pourtant "phpmyadmin" fonctionne très bien
> > en mode dist
23 matches
Mail list logo
