Le 2013-08-26 14:05, alain vanranst a écrit :
Bonjour la liste, config : serveur kimsufi chez ovh, mon serveur vient de se faire hacké. Le mot de passe root a été changé, mais, pas celui de postgres. Je peux donc encore me connecter en ssh via ce compte.Connaissez-vous une méthode pour reprendre la main sur root et rechangerle pw ?
Il faut redémarrer ton serveur en mode rescue. Puis changer le mot de passe en faisant un chroot sur ta partition système.
By the way, par où dois-je commencer pour essayer de comprendre par où il est passé ?
Une connexion en ssh avec postgres c'est bizarre, l'utilisateur postgres est un utilisateur système et ne devrait pas avoir de mot de passe, donc aucune possibilité de se connecter en SSH. Peut être que le problème vient de là ou d'un autre user système avec un mot de passe.
Dans tout les cas, la personne qui est rentrée dans ton système a pu changer pleins de trucs. Tu ne peux donc avoir confiance en aucun fichier sur ton serveur. Les logs ont pu être falsifiés, les dates d'accès au fichier aussi, ton noyau a pu être modifié ....
Il faut donc réinstaller avec une sauvegarde faite avant l'attaque. Mais tu auras toujours la même faille.
Pour connaître la faille sur ton système, tu peux explorer les logs, c'est un bon point de départ si ils n'ont pas été modifié ! Sinon, une debian de base ne contient pas de faille, c'est donc toi en faisant la configuration qui a créé la faille. Donc tu peux étudier en détails les étapes de configuration.
Est-ce que tes mots de passe sont correct ?Enfin, il y a eu un problème chez OVH, en gros ils se sont fait volé des mot de passe, c'est peut être aussi une piste.
Julien