aaah , c'est dommage.
dans de pareilles situations, il aurait fallu maintenir le serveur
allumer, et faire un dump de la mémoire, puis, analyser en profondeur le
système. les renseignements seront riches d'info utiles à la liste.
On 25/04/2013 00:33, fred wrote:
Je suis en train de
Le Thu, Apr 25, 2013 at 12:33:47AM +0200, zulian écrivait :
Je suis en train de re-installer totalement mon serveur,
car Il m'a même donné via Skype le mot de passe wifi de ma Freebox.
Il me dit utiliser une distrib spécialisée pour faire tout cela
www.backbox.org/
--
Frédéric
The sluth kit (remplaçant de the coroner toolkit) te permet de faire pleins
de choses (la commande mac-robber te permet de construire une chronologie
des modifications sur ton FS)
Le 25 avr. 2013 12:29, fred zul...@free.fr a écrit :
Le Thu, Apr 25, 2013 at 12:33:47AM +0200, zulian écrivait :
Le 24/04/2013 01:02, Frédéric Zulian a écrit :
53/tcpopen domain
Tu héberges un DNS sur ta machine ou juste un resolver ?
Juste résolver
Ta conf est donc foireuse, pas besoin de l'exposer à l’extérieur si tu
ne t'en sers que localement.
80/tcpopen http
3306/tcp open mysql
Salut à tous,
J'ai suivi de loin vos discutions.
Et je me demandais s'il serait utile de proposer un audit de sécurité.
Cela pemettrait peut-être de savoir où sont les failles.
Et on parle pas mal de lynis pour le moment.
http://packages.debian.org/search?keywords=lynis
’jour,
Le mercredi 24 avril 2013 à 07:36:37, Jean-Michel OLTRA a écrit
:
[…]
Oui et c est la le pb.
Il vient d arriver à l instant à modifier la base de
données.
Houla ! J’ai peur de comprendre qu’un système non protégé,
déjà compromis a été laissé en ligne pour qu’il continue
Le Tue, 23 Apr 2013 15:08:42 +0200,
zul...@free.fr a écrit :
Un visiteur vient d'accéder à mon serveur.
Le hackeur vient de me faire parvenir la liste de tous les fichiers
des différents /home/users du serveur.
Il a aussi laissé un fichier .txt dans /home.
Il affirme de pas avoir le
Pour une investigation tu peux utilisé the corner toolkit (bien le
configurer)
Le 24 avr. 2013 12:07, Alain Vaugham al...@vaugham.com a écrit :
Le Tue, 23 Apr 2013 15:08:42 +0200,
zul...@free.fr a écrit :
Un visiteur vient d'accéder à mon serveur.
Le hackeur vient de me faire parvenir
Lorsque tu utilise netstat, cest la commande de ton système hacker que tu
utilise ? Le pirate la peu être modifié ? Dans ce cas recopie la commande
netstat (ou autre commande utilse pour ton investigation) a partir dun
autre système (ou pourquoi pas la recompiler en statique)
Le 24 avr. 2013
On Wed, 24 Apr 2013 14:23:33 +0200
Belaïd MOUNSI oblivion.ik...@gmail.com wrote:
Lorsque tu utilise netstat, cest la commande de ton système hacker
que tu utilise ? Le pirate la peu être modifié ? Dans ce cas recopie
la commande netstat (ou autre commande utilse pour ton investigation)
a
Cest ce que javais dit dans un ancien mail (dump avec dd et vérification
sur une autre machine = investigation a la morgue) puis utilisation dun
outils dinvestigation comme TCT
Le 24 avr. 2013 14:32, Bzzz lazyvi...@gmx.com a écrit :
On Wed, 24 Apr 2013 14:23:33 +0200
Belaïd MOUNSI
TCT sur le dump bien sur pas sur la machine infecter
Le 24 avr. 2013 14:51, Belaïd MOUNSI oblivion.ik...@gmail.com a écrit :
Cest ce que javais dit dans un ancien mail (dump avec dd et vérification
sur une autre machine = investigation a la morgue) puis utilisation dun
outils dinvestigation
Bonjour à tous les utilisateurs et développeurs de Debian :
Dans son message du 23/04/13 à 20:50, Bzzz a écrit :
Tous les crackers ne sont pas pourris (pour reprendre un autre
thread:), certains se contentent d'une vigoureuse pénétration
bien en profondeur et de révéler leur exploit sans
Je suis en train de re-installer totalement mon serveur,
car Il m'a même donné via Skype le mot de passe wifi de ma Freebox.
Il me dit utiliser une distrib spécialisée pour faire tout cela
www.backbox.org/
--
Frédéric
F1sxo
--
Lisez la FAQ de la liste avant de poser une question :
Bonjour,
Un visiteur vient d'accéder à mon serveur.
Le hackeur vient de me faire parvenir la liste de tous les fichiers des
différents /home/users du serveur.
Il a aussi laissé un fichier .txt dans /home.
Il affirme de pas avoir le mdp root ni aucun mdp d'users.
Il me dit avoir bypassé
Le mardi 23 avril 2013 à 15:08, zul...@free.fr a écrit :
Une idée de ce qu'il fait pour accéder aux homes de mes users ?
Quels services sont actifs sur la machine ?
Quels services sont accessibles depuis Internet ?
Seb
--
Lisez la FAQ de la liste avant de poser une question :
On Tue, 23 Apr 2013 15:08:42 +0200
zul...@free.fr wrote:
Il me dit avoir bypassé la procédure d'identification.
Je n'obtiens pas d'autre réponse.
Une idée de ce qu'il fait pour accéder aux homes de mes users ?
Sans aucune indication des softs utilisés ni de la conf,
aucune chance d'avoir
Le Tue, Apr 23, 2013 at 03:17:13PM +0200, Sébastien NOBILI écrivait :
Le mardi 23 avril 2013 à 15:08, zul...@free.fr a écrit :
Une idée de ce qu'il fait pour accéder aux homes de mes users ?
Quels services sont actifs sur la machine ?
Quels services sont accessibles depuis Internet ?
Bonjour,
Le mardi 23 avril 2013, zul...@free.fr a écrit...
Le hackeur vient de me faire parvenir la liste de tous les fichiers des
différents /home/users du serveur.
Il a aussi laissé un fichier .txt dans /home.
Une idée de ce qu'il fait pour accéder aux homes de mes users ?
As
Le mardi 23 avril 2013 à 15:35, fred a écrit :
Quels services sont actifs sur la machine ?
Quels services sont accessibles depuis Internet ?
Ben voila :
Host is up (0.11s latency).
Not shown: 977 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
21/tcpopen ftp
Les logs donnent-ils quelque chose ?
Le 23 avr. 2013 15:09, zul...@free.fr a écrit :
**
Bonjour,
Un visiteur vient d'accéder à mon serveur.
Le hackeur vient de me faire parvenir la liste de tous les fichiers des
différents /home/users du serveur.
Il a aussi laissé un fichier
Le 23/04/2013 15:53, Sébastien NOBILI a écrit :
Le mardi 23 avril 2013 à 15:35, fred a écrit :
Quels services sont actifs sur la machine ?
Quels services sont accessibles depuis Internet ?
Ben voila :
Host is up (0.11s latency).
Not shown: 977 closed ports
PORT STATE SERVICE
1/tcp
Le Tue, Apr 23, 2013 at 03:53:44PM +0200, Sébastien NOBILI écrivait :
Le mardi 23 avril 2013 à 15:35, fred a écrit :
Quels services sont actifs sur la machine ?
Quels services sont accessibles depuis Internet ?
Ben voila :
Host is up (0.11s latency).
Not shown: 977
Le Tue, Apr 23, 2013 at 05:44:35PM +0200, Jean-Luc Bassereau écrivait :
couic
Il y a des ports ouverts vraiment inquietants genre :
1080/tcp open socks
1524/tcp open ingreslock
1524/tcp open ingreslock
2000/tcp open cisco-sccp
3306/tcp open mysql
6667/tcp open irc
On Tue, 23 Apr 2013 19:33:48 +0200
fred zul...@free.fr wrote:
J'imagine (j'espère !) que tout ça n'est pas accessible depuis
Internet…
Ben si ça était .
Lesquels le sont ?
Ben tous, depuis j'ai listé et enlevé tous ce qui ne sert pas :
Condoléances, tu peux d'ores et déjà
Le Tue, Apr 23, 2013 at 03:53:42PM +0200, Jean-Michel OLTRA écrivait :
couic
As tu regardé les droits sur ces différents dossiers/fichiers, de
manière à voir quelles sont les permissions minimales à obtenir pour
procéder aux actions de lecture/écriture ?
Car, normalement, par exemple,
Le Tue, Apr 23, 2013 at 04:01:22PM +0200, Belaïd MOUNSI écrivait :
Les logs donnent-ils quelque chose ?
Non, je n'ai pas de traces dans syslog.
--
Frédéric F1sxo
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un
Le mieu c'est de faire un dump de la partition qui contient ton système
(avec la commande dd par exemple) puis l'étudier dans sur autre machine
(saine) avec des outils adéquats.bien sur le mieu après cest de réinstaller
ton système car tu ne peux jamais être sur qu'il est redevenu normal.le
hacker
Le mieu c'est de faire un dump de la partition qui contient ton système
(avec la commande dd par exemple) puis l'étudier dans sur autre machine
(saine) avec des outils adéquats.bien sur le mieu après cest de réinstaller
ton système car tu ne peux jamais être sur qu'il est redevenu normal.le
hacker
Bonjour,
En reprenant la discussion au point de départ, si j'ai bien compris
il s'agit du piratage de la machine et le pirate aurait laissé un
« coucou » en quelque sorte. Cette situation m'étonne tout de même
car il me semble que quand on prend le contrôle d'une machine, on ne
le dit pas, on
On Tue, 23 Apr 2013 20:28:11 +0200
Dominique Asselineau assel...@telecom-paristech.fr wrote:
il ne
reste plus qu'à se demander quelle a été la motivation du « visiteur
».
Tous les crackers ne sont pas pourris (pour reprendre un autre
thread:), certains se contentent d'une vigoureuse
Cest vrai maiq ils sont rare ! :-)
Le 23 avr. 2013 20:50, Bzzz lazyvi...@gmx.com a écrit :
On Tue, 23 Apr 2013 20:28:11 +0200
Dominique Asselineau assel...@telecom-paristech.fr wrote:
il ne
reste plus qu'à se demander quelle a été la motivation du « visiteur
».
Tous les crackers ne
Le 23/04/2013 19:33, fred a écrit :
[...]
Ben tous, depuis j'ai listé et enlevé tous ce qui ne sert pas :
netstat -lnp | grep :port
C'est à dire ? tu as enlevé quoi ? comment ?
--
Cordialement.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Bzzz wrote on Tue, Apr 23, 2013 at 08:50:25PM +0200
On Tue, 23 Apr 2013 20:28:11 +0200
Dominique Asselineau assel...@telecom-paristech.fr wrote:
il ne
reste plus qu'à se demander quelle a été la motivation du « visiteur
».
Tous les crackers ne sont pas pourris (pour reprendre un
On Tue, 23 Apr 2013 21:07:58 +0200
Jean-Luc Bassereau j...@onetoserve.net wrote:
C'est à dire ? tu as enlevé quoi ? comment ?
Depuis la loi de Poisson, il se Gauss et ne mange plus de port,
il ne se nourrit plus que de Poutlet.
--
Wouitmil: ca veut dire quoi gorgeous ?
Eveline: quel
On Tue, 23 Apr 2013 21:17:22 +0200
Dominique Asselineau assel...@telecom-paristech.fr wrote:
On peut aussi rester discret pour se donner les meilleures chances de
pouvoir recommencer !
Bref on peut avoir à faire à du squat le plus discret possible, sans
rien détruire donc.
Tu oublies qu'à
Le Tue, Apr 23, 2013 at 09:07:58PM +0200, Jean-Luc Bassereau écrivait :
Le 23/04/2013 19:33, fred a écrit :
[...]
Ben tous, depuis j'ai listé et enlevé tous ce qui ne sert pas :
netstat -lnp | grep :port
C'est à dire ? tu as enlevé quoi ? comment ?
portmap par exemple.
Maintenant je
On Tue, 23 Apr 2013 22:08:52 +0200
fred zul...@free.fr wrote:
portmap par exemple.
Maintenant je n'ai plus que ces ports d'ouverts :
Not shown: 992 closed ports
PORT STATE SERVICE
21/tcpopen ftp
22/tcpopen ssh
25/tcpopen smtp
53/tcpopen domain
80/tcpopen
Le 23/04/2013 22:08, fred a écrit :
portmap par exemple.
Maintenant je n'ai plus que ces ports d'ouverts :
53/tcpopen domain
Tu héberges un DNS sur ta machine ou juste un resolver ?
80/tcpopen http
3306/tcp open mysql
Tu as besoin de pouvoir attaquer ton MySQL de l’extérieur ?
Envoyé de mon iPhone
Le 23 avr. 2013 à 23:02, Jean-Luc Bassereau j...@onetoserve.net a écrit :
Le 23/04/2013 22:08, fred a écrit :
portmap par exemple.
Maintenant je n'ai plus que ces ports d'ouverts :
53/tcpopen domain
Tu héberges un DNS sur ta machine ou juste un resolver ?
On Wed, 24 Apr 2013 01:02:25 +0200
Frédéric Zulian fzul...@gmail.com wrote:
Tu as besoin de pouvoir attaquer ton MySQL de l’extérieur ?
Oui et c est la le pb.
Il vient d arriver à l instant à modifier la base de données.
Ça, sans aucune protection…
stunnel rend ce service (et postgresql,
Bonjour,
Le mercredi 24 avril 2013, Frédéric Zulian a écrit...
Tu as besoin de pouvoir attaquer ton MySQL de l’extérieur ?
Oui et c est la le pb.
Il vient d arriver à l instant à modifier la base de données.
As tu un site ouèbe qui pourrait être l'objet d'attaque par injection
SQL
On Wed, 24 Apr 2013 07:36:37 +0200
Jean-Michel OLTRA jm.oltra.antis...@espinasse.net wrote:
Je crains également que ton système soit bien malade…
Dit le médecin au chevet du grabataire tout vert de moisissure ];-)
--
Lionel Je dis pas que t'es une salope, je dis juste que tes jambes
43 matches
Mail list logo