|
Bonsoir,
hier quelqu'un a pénétré un de mes serveur
debian stable via ssh.
Il a emprunté le nom d'un
de mes utilisateurs dont le mot de passe, je
suppose, n'était pas suffisamment complexe.
Il a ensuite ouvert un backdor avec dbus, un
paquet utilisé par Gnome, puis forwardé toutes sortes de trucs vers une adresse
masquée.
Je m'en suis aperçu en détectant une activité
bizarre sur mes switch, puis tcpdump a confirmé mes soupçons.
Il n'y a pas de dégât apparent (je ne pense pas
qu'il aie réussi a ouvrir une session root) et je ne pense pas non plus
qu'il est allé au delà de la DMZ. Par précaution, j'ai modifié tous mes
mots de passe root, et bloqué SSH.
Je n'ai malheureusement pas grand chose dans les
log mis à part la connexion de cet utilisateur via SSH.
Est-ce que quelqu'un a des infos sur les danger de
dbus?
Merci.
Raphaël
|