Re: Coonexion sans identification
’jour,
Le mercredi 24 avril 2013 à 07:36:37, Jean-Michel OLTRA a écrit
:
>[…]
> > Oui et c est la le pb.
> > Il vient d arriver à l instant à modifier la base de
> > données.
Houla ! J’ai peur de comprendre qu’un système non protégé,
déjà compromis a été laissé en ligne pour qu’il continue
gentiment à se faire passer dessus.
La première chose à faire en cas de compromission, c’est
d’isoler le système !
Ce cas est le contre-exemple parfait pour l’expression
« fermer les portes de l’écurie quand les chevaux se sont déjà
enfui » : il restait des chevaux…
> As tu un site ouèbe qui pourrait être l'objet d'attaque par
> injection SQL ? Ou bien est ce via une connexion directe à
> la base qu'il a pu la modifier ? C'est une base qui sert à
> quel objectif ?
Toutes ces questions sont un peu inutiles ou à tout le moins
tardives : les besoins et les risques auraient dus être posés
avant de laisser tous les services et leurs ports ouverts.
Ok, l’autopsie peut être intéressante mais elle se pratique
mieux à la morgue, au calme, qu’en pleine circulation sur les
lieux de l’accident.
Donc :
0. on isole le système, on ne s’en ressert plus du tout,
jamais !
(si on n’a pas d’autre machine, on utilise une clef USB plutôt
que le système corrompu pour chercher de la doc et des
conseils)
1. on autopsie le système pour voir :
a. ce qui a été fait pour savoir ce qui est récupérable comme
données. En cas de doute, on jette ;
b. comment ça a été fait pour ne plus que ça se reproduise ;
2. on se (re)pose les bonnes questions (on lit au moins les
howtos de sécurisation…) ;
3. on réinstalle.
> Je crains également que ton système soit bien malade…
Carrément moribond, voire zombie…
--
Sylvain Sauvage
Reply to: