Le 08/26/2013 04:40 PM, alain vanranst a écrit :
Voilà, j'ai pu grâce à votre aide récupérer un accès root sur ce serveur. Je suis conscient qu'il est vérolé et que je ne peux plus l'utiliser de manière (semi)professionnelle. J'ai fait le nécessaire avec les data. Cependant, je souhaiterais : 1. comprendre 2. éventuellement, coincer le petit plaisantin. Quels seraient les logiciels à mettre en place pour surveiller tous les accès à ce serveur? Est-il indispensable de passer par quelque chose comme backtrack5 ? Y-a-t-il des mesures de surveillance plus "accessibles". Comme vous l'aurez compris, je suis nul en sécurité, mais je ne demande qu'à apprendre. En tous les cas, grand merci à la liste. Avr.
Salut,Il est nécessaire d'avoir des tools de base pour contrôler les flux de son dédié :
- firewall : iptables ou shorewall (ils se valent mais iptables est plus tricky, shorewall plus abordable) - IDS/IPS : Snort (système de détections d'intrusions un peu tricky, il lui faut plusieurs d'apprentissage pour éviter les faux positifs)
- ClamAV : Antivirus ( allez just 4 fun ;)- Restreindre ses accès SSH avec des clés publiques, modifier le port sur lequel tourne le serveur SSH, et force le firewall a n'accepter que du ssh provenant de ton ip publique (attention double tranchant si tu n'a pas d'ip publique fixe et que tu tentes d'accéder depuis un autre site tu seras coincé)
- Caler un pass root strong avec apg ou pwgen (au moins 14 caractères) - Utiliser chrootCa c'est la base ensuite il y a une panoplie de tools et autres méthodes à appliquer (par exemple le port knocking)
B.
Le lundi 26 août 2013 à 14:11 +0200, Johnny B a écrit :Salut, Le plus urgent est de passer en mode rescue via le Netboot de ton manager OVH et par la suite en profiter pour changer le passwd root, et regarder tous les fichiers de log dans l'intervalle de temps de ton incident. Pour les bases, il est important de sécuriser SSH , mettre en place un firewall restreint au ssh et à ton ip publique le temps de diagnostiquer, voila pour le petit kit d'urgence en attendant les investigations. B. Le 08/26/2013 02:05 PM, alain vanranst a écrit :Bonjour la liste, config : serveur kimsufi chez ovh, mon serveur vient de se faire hacké. Le mot de passe root a été changé, mais, pas celui de postgres. Je peux donc encore me connecter en ssh via ce compte. Connaissez-vous une méthode pour reprendre la main sur root et rechanger le pw ? By the way, par où dois-je commencer pour essayer de comprendre par où il est passé ? D'avance, merci pour votre aide. Avr.