Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !

To: JC <jc2010@aygalenq.net>
Cc: debian-user-french@lists.debian.org
Subject: Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !
From: Olivier Lange <olange81@gmail.com>
Date: Mon, 16 Aug 2010 00:52:54 +0200
Message-id: <[🔎] AANLkTi=O67c_Fy6A6czDtvTb-o9u_Q2Z5vDFFWTA0eUV@mail.gmail.com>
In-reply-to: <[🔎] 20100816003958.219bec68@debian1-home.aygalenq.net>
References: <[🔎] 201008152344.38477.salokine.terata@free.fr> <[🔎] 20100816003958.219bec68@debian1-home.aygalenq.net>

Le 16 août 2010 00:39, JC <jc2010@aygalenq.net> a écrit :
>
>> Pour l'accès depuis l'exterieur. Il s'agit d'un serveur dédié hébergé. Donc besoin de ce type d'accès. Je retiens la solution des ACLs et me pose la
>> question d'un accès sur un port IP dédié avec HTTPS + certificats ... à voir.

Il y a d'autres solutions... Tout d'abords, abandonner l'utilisation
de phpmyadmin, pour des raisons de sécurités telles que celles-la,
mais surtout... parce que c'est un script php couvert de bug... Et que
tu peux planter ton serveur en voulant exécuter une requête (arrêter
la page stop le script php, mais pas la requête mysql derrière =>
risque de problème).

Je te conseille de passer plutôt par des solutions de type sqlyog ou
mysql editor, ou autre. Et pour éviter d'ouvrir ton serveur mysql a
n'importe qui, un petit vpn, et tu es tranquile. Ou mieux encore, vive
la ligne de commande ;).

Si vraiment tu veux utiliser cet outil, le minimum vital est de mettre
un .htaccess. Ca limitera grandement les accès dessus.

>
>        En effet si un accès phpMyAdmin est absolument nécessaire
> la simple mise en place d'un acces en https avec login + mot de passe
> devrait déjà limiter fortement l'accès aux fichiers du dit phpMyAdmin.
>
>
>> Les fichiers relatif à l'exploit étaient stockés dans /tmp, j'ai fait une archive: http://www.humyo.fr/FVpDCQY/tmp-dd_ssh-files.7z?a=9xXH2mA72fQ
>
>        Merci. Toujours intéressant de jeter un oeil.
>
>
>> Bref, manque de vigilance de ma part.
>
>        Ca nous arrive à tous malheureusement ... pour une raison ou une autre.
>
>
>> Pour le up-to-date ... probablement pas depuis Avril ...
>> Ma version de phpMyAdmin est malheureusement : 4:2.11.8.1-5+lenny3
>> Dommage pour moi: http://www.debian.org/security/2010/dsa-2034

Oula... Passe dans un premier temps à la version 3.3.5, plutot que de
rester en 2.11!

>
>> Existe-il un programme permettant de réaliser de manière automatique et silencieuse la mise à jour "type aptitude safe-upgrade" avec un petit rapport
>> par mail lorsque des mises à jour ont été installées ou lorsque celles-ci nécessite une intervention humaine ?

Attention a cela... TU n'est pas a l'abri d'un problème, ou d'une
erreur! La mise a jour automatique, meme en safe-upgrade n'est jamais
conseillée sur un serveur de production! Sysadmin, c'est un boulot à
plein temps! A toi de faire tes mises à jours régulièrement!

Par contre, tu peux déja installer un logiciel tel que fail2ban, et le
paramétrer pour prendre en compte les pages logs apache. Il te
permettra de bannir un utilisateur ayant rencontré X 404. Ca te
limitera les risques.


Olivier

Reply to:

References:
- Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !
  - From: Salokine Terata <salokine.terata@free.fr>
- Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !
  - From: JC <jc2010@aygalenq.net>

Prev by Date: Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !
Next by Date: spam dans le DBTS ?
Previous by thread: Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !
Next by thread: [lenny]Redmine c'est possible ?
Index(es):
- Date
- Thread