Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[piratage] je me fait pirater mais je trouve ... (résolu)
View unanswered posts
View posts from last 24 hours

Goto page 1, 2  Next  
This topic is locked: you cannot edit posts or make replies.    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
alpha_one_x86
Guru
Guru


Joined: 29 Oct 2006
Posts: 544

PostPosted: Tue Jan 16, 2007 10:33 am    Post subject: [piratage] je me fait pirater mais je trouve ... (résolu) Reply with quote

Bonjour, désoler d'encore vous déranger, mais la c'est critique, mon site ce fait pirater et je trouve pas la faille.

Voici un partie de mas logs:
Code :
Code:
toc ~ # cat /var/log/apache2/access_log | grep owned
82.254.230.36 - - [16/Jan/2007:06:01:49 +0100] "GET /owned.txt HTTP/1.1" 200 8
213.169.177.188 - - [16/Jan/2007:06:02:02 +0100] "GET /owned.txt HTTP/1.1" 200 8
86.214.110.199 - - [16/Jan/2007:06:02:02 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.219.110.175 - - [16/Jan/2007:06:02:13 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.219.110.175 - - [16/Jan/2007:06:02:21 +0100] "GET /owned.png HTTP/1.1" 404 93
81.48.17.52 - - [16/Jan/2007:06:06:04 +0100] "GET /owned.txt HTTP/1.1" 200 8
82.127.218.182 - - [16/Jan/2007:06:06:08 +0100] "GET /owned.txt HTTP/1.1" 200 8
85.1.250.91 - - [16/Jan/2007:06:10:36 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.219.110.175 - - [16/Jan/2007:06:32:19 +0100] "GET /owned.txt HTTP/1.1" 304 -
82.228.161.185 - - [16/Jan/2007:06:37:31 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.204.89.38 - - [16/Jan/2007:16:11:45 +0100] "GET /owned.txt HTTP/1.1" 304 -
83.204.89.38 - - [16/Jan/2007:16:13:55 +0100] "GET /owned.txt HTTP/1.1" 304 -
66.249.65.4 - - [16/Jan/2007:18:24:42 +0100] "GET /admin/ftp/owned.txt HTTP/1.1" 302 -



Voici le fichier en cause:
owned.txt
Je vois vraiment pas comment il on pu le creer, je cherche pres d'un faille de la gestion de leur ftp car il y on acces en écriture. Quand on est logger voir: http://first-world.no-ip.info/user/

Mon site:
http://first-world.no-ip.info/

Merci de votre aide.


Last edited by alpha_one_x86 on Tue Jan 16, 2007 2:57 pm; edited 1 time in total
Back to top
View user's profile Send private message
OuinPis
Tux's lil' helper
Tux's lil' helper


Joined: 05 Jun 2006
Posts: 133
Location: a coté de Paris

PostPosted: Tue Jan 16, 2007 10:49 am    Post subject: Reply with quote

la faille est simple a trouver : entre le clavier et la chaise :D
_________________
Intel Core2 Duo 6400 @ 2.13GHz - 2Go DDRII 533
2.6.18-gentoo-r2 - gcc 4.1.1 - xorg 7.1 - KDE 3.5.5
Back to top
View user's profile Send private message
GaMeS
Guru
Guru


Joined: 08 Nov 2005
Posts: 374
Location: Nantes

PostPosted: Tue Jan 16, 2007 10:54 am    Post subject: Reply with quote

Je crois savoir que kernelsensei t'as PM hier non ?

Tu pourrais au moin ne pas faire un chmod 777 sur /var/www ...
_________________
$this->setLife(FALSE);
printf "I'm not a gamer !";
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Tue Jan 16, 2007 10:54 am    Post subject: Reply with quote

Lol, j'adore le "Ce site est directement héberger sur mon PC" !!! :lol:
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
kernelsensei
Bodhisattva
Bodhisattva


Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)

PostPosted: Tue Jan 16, 2007 10:56 am    Post subject: Reply with quote

Cher alpha_one_x86, si tu repensais au message privé que je t'ai envoyé...

Oui, linux ça peut être plus sécurisé qu'un windows.... quand on sait l'administrer ! Si tu fais des bêtises, comme par exemple donner des droits d'écriture là où il ne faut pas, c'est malheureusement ta faute...
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'
Back to top
View user's profile Send private message
alpha_one_x86
Guru
Guru


Joined: 29 Oct 2006
Posts: 544

PostPosted: Tue Jan 16, 2007 11:11 am    Post subject: Reply with quote

J'ai deja fait un 700, et j'avais aussi des problemes de piratage. Mais j'aimerai bien savoir par ou le pirate est passer, peu etre mes ftp car il sont en travaux, par ssh car j'avais pas encore eu le temp de mettre un filtre sur les utilisateur ssh. Mais je penche pour une faille sur mes script php, je vais voir mes pm...

C'est pas une faille de mon script c'est une faille ssh car on as changer le pass d'un de mes utilisateur :? Et le piratage continu...
Back to top
View user's profile Send private message
OuinPis
Tux's lil' helper
Tux's lil' helper


Joined: 05 Jun 2006
Posts: 133
Location: a coté de Paris

PostPosted: Tue Jan 16, 2007 11:29 am    Post subject: Reply with quote

ferme ssh le temps de corriger tout ca ;)
_________________
Intel Core2 Duo 6400 @ 2.13GHz - 2Go DDRII 533
2.6.18-gentoo-r2 - gcc 4.1.1 - xorg 7.1 - KDE 3.5.5
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Tue Jan 16, 2007 11:31 am    Post subject: Reply with quote

alpha_one_x86 wrote:

(...)
Et le piratage continu...

ben déconnectes ton serveur... marrant toi :lol: dans ces cas là c'est une mise en quarantaine direct de son serveur à soit qui tourne chez soit de chez soit :P
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
OuinPis
Tux's lil' helper
Tux's lil' helper


Joined: 05 Jun 2006
Posts: 133
Location: a coté de Paris

PostPosted: Tue Jan 16, 2007 11:38 am    Post subject: Reply with quote

kwenspc wrote:
alpha_one_x86 wrote:

(...)
Et le piratage continu...

ben déconnectes ton serveur... marrant toi :lol: dans ces cas là c'est une mise en quarantaine direct de son serveur à soit qui tourne chez soit de chez soit :P

++++++++++1

Mais comme il n'ecoute pas vraiment ce qu'on lui dit......
_________________
Intel Core2 Duo 6400 @ 2.13GHz - 2Go DDRII 533
2.6.18-gentoo-r2 - gcc 4.1.1 - xorg 7.1 - KDE 3.5.5
Back to top
View user's profile Send private message
alpha_one_x86
Guru
Guru


Joined: 29 Oct 2006
Posts: 544

PostPosted: Tue Jan 16, 2007 12:11 pm    Post subject: Reply with quote

J'ai besoin de ssh pour le modifier mon serveur. Je suis obliger de mettre mon site en en 777 car (je sais pas métriser mon ftp) mon ftp l'up en utilisateur: www group: www, et donc apche ne peu pas lancer mes script php.
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Tue Jan 16, 2007 12:13 pm    Post subject: Reply with quote

alpha_one_x86 wrote:
(...)
Je suis obliger de mettre mon site en en 777 car (je sais pas métriser mon ftp) mon ftp l'up en utilisateur: www group: www, et donc apche ne peu pas lancer mes script php.

Qui t'obliges à faire ça? tu comprends pas ce que tu fais c'est tout.
Le user et le group ça peut se changer: commandes chown et chgrp
Tu tires trop vite des conclusions foireuses et tu reconnais pas tes erreurs. Comprends ce que tu fais avant de faire quoique ce soit. Sinon c'est pas la peine.
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
alpha_one_x86
Guru
Guru


Joined: 29 Oct 2006
Posts: 544

PostPosted: Tue Jan 16, 2007 12:23 pm    Post subject: Reply with quote

Je sais que je tire des conclusion foireur (on a defois du mal a admettre ces erreur). Mais la un simple chown ne marche pas si non j'aurai mit: rwxrwxr-- avec user: www et group: apache. Mais quand j'envoye un fichier (qui n'eexiste pas) il est creer avec des droits foireux, dans le meillieur des cas: -rw------- sous www.www
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Tue Jan 16, 2007 12:28 pm    Post subject: Reply with quote

cqfd.

Bon faut VRAIMENT que tu lises des tutoriaux, de la doc et que tu apprennes, fasses des exercices et comprennes ce que tu fais.

Au pif (google: cours linux) :arrow: http://www.ac-creteil.fr/reseaux/systemes/linux/
Très bon site (pour le peu que j'en ai lu).

Sinon on va finir par devenir comme ceux de debian à dire RTFM à tout va là...(et ça serait justifié)
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
blasserre
Veteran
Veteran


Joined: 10 Feb 2004
Posts: 1362
Location: Lille, Vlaanderen

PostPosted: Tue Jan 16, 2007 12:30 pm    Post subject: Reply with quote

dites-moi les amis, j'ai dans l'idée depuis un certain temps de créer un topic sur la sécu, j'ai conscience du fait que chez moi, comme chez tout le monde :P , la faille se situe entre la chaise et le clavier, mais je ne trouve pas de doc de référence répondant à ces questions diverses :
- gestion des webapps
- choix su/sudo pour différentes taches
- création d'un semi-root pour la gestion courante (emerge toussa)

ça vous botte d'échanger ou je n'ai tout simplement pas bien cherché et je mérite une fessée ?
note aux modos : je voulais aussi demander si ce genre de questions n'auraient pas leur place dans le DO{W|M|Y} courant
_________________
benj

technicien professionnel, ascendant winner
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Tue Jan 16, 2007 12:32 pm    Post subject: Reply with quote

Un DOW serait en effet une bonne idée. Je pense qu'on a tous à y gagner de ce genre de discussion :)
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
OuinPis
Tux's lil' helper
Tux's lil' helper


Joined: 05 Jun 2006
Posts: 133
Location: a coté de Paris

PostPosted: Tue Jan 16, 2007 12:41 pm    Post subject: Reply with quote

alpha_one_x86 wrote:
J'ai besoin de ssh pour le modifier mon serveur. Je suis obliger de mettre mon site en en 777 car (je sais pas métriser mon ftp) mon ftp l'up en utilisateur: www group: www, et donc apche ne peu pas lancer mes script php.

Si ton serveur est chez toi tu peux brancher ton clavier et ton écran dessus sans trop de difficulté, tu pourrais aussi te fabriquer un switch pour clavier/écran (y'a aussi la possibilité d'en acheter).
En suite si tu prend la décision de laisser plein de portes ouvertes sur ton serveur et que tu le met en ligne en donnant son adresse sur tous les forums ou tu vas, et qu'après ça tu t'aperçoit d'une intrusion et que la encore tu le laisse connecté. Ben j'ai qu'une chose a dire : tant pis pour toi !
_________________
Intel Core2 Duo 6400 @ 2.13GHz - 2Go DDRII 533
2.6.18-gentoo-r2 - gcc 4.1.1 - xorg 7.1 - KDE 3.5.5
Back to top
View user's profile Send private message
alpha_one_x86
Guru
Guru


Joined: 29 Oct 2006
Posts: 544

PostPosted: Tue Jan 16, 2007 12:58 pm    Post subject: Reply with quote

C'est une boone idee pour l'ecran mais je l'ai viser dans le mur et le serveur est visser dans un meuble. J'ai tout réactiver en vérifiant que tout les utilisateur on bien des mot de passe. J'ai vérifier mes failles, samba bien configurer en anonyme mais avec un filtre ip, l2j avec des pass. J'ai plus que 2 logiciel que je connait pas trop bien ssh et vsftpd. Et encore mais faille dans mes scripts php, je suis présque sur qu'il y en a mais rare sont ceux qui les trouve, vous pouver toujours essayer:
http://first-world.no-ip.info/ftp/
mais:
<?php
$pass_mysql='dsf778z2++sdf-sdf+-';
$login_mysql='root';
$host_mysql='localhost';
$db_mysql='first-world';
?>
c'est pas mes vrai pass.

Au cas ou j'ai chrooter samba, car j'avais fait un chmod 777 sur le dossier partager de samba, la je l'ai chrooter et j'ai creer les groups et le utilisateur et j'ai mit comme masque: 700 qu'en dite vous?
Back to top
View user's profile Send private message
Scullder
Guru
Guru


Joined: 16 Mar 2006
Posts: 466
Location: France

PostPosted: Tue Jan 16, 2007 1:16 pm    Post subject: Re: [piratage] je me fait pirater mais je trouve pas la fail Reply with quote

alpha_one_x86 wrote:
Bonjour, désoler d'encore vous déranger, mais la c'est critique, mon site ce fait pirater et je trouve pas la faille.

Voici un partie de mas logs:
Code :
Code:
toc ~ # cat /var/log/apache2/access_log | grep owned
82.254.230.36 - - [16/Jan/2007:06:01:49 +0100] "GET /owned.txt HTTP/1.1" 200 8
213.169.177.188 - - [16/Jan/2007:06:02:02 +0100] "GET /owned.txt HTTP/1.1" 200 8
86.214.110.199 - - [16/Jan/2007:06:02:02 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.219.110.175 - - [16/Jan/2007:06:02:13 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.219.110.175 - - [16/Jan/2007:06:02:21 +0100] "GET /owned.png HTTP/1.1" 404 93
81.48.17.52 - - [16/Jan/2007:06:06:04 +0100] "GET /owned.txt HTTP/1.1" 200 8
82.127.218.182 - - [16/Jan/2007:06:06:08 +0100] "GET /owned.txt HTTP/1.1" 200 8
85.1.250.91 - - [16/Jan/2007:06:10:36 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.219.110.175 - - [16/Jan/2007:06:32:19 +0100] "GET /owned.txt HTTP/1.1" 304 -
82.228.161.185 - - [16/Jan/2007:06:37:31 +0100] "GET /owned.txt HTTP/1.1" 200 8
83.204.89.38 - - [16/Jan/2007:16:11:45 +0100] "GET /owned.txt HTTP/1.1" 304 -
83.204.89.38 - - [16/Jan/2007:16:13:55 +0100] "GET /owned.txt HTTP/1.1" 304 -
66.249.65.4 - - [16/Jan/2007:18:24:42 +0100] "GET /admin/ftp/owned.txt HTTP/1.1" 302 -



Voici le fichier en cause:
owned.txt
Je vois vraiment pas comment il on pu le creer, je cherche pres d'un faille de la gestion de leur ftp car il y on acces en écriture. Quand on est logger voir: http://first-world.no-ip.info/user/

Mon site:
http://first-world.no-ip.info/

Merci de votre aide.


Qui ? Pourquoi ?

Alors je vais te dire simplement d'où ça vient, tu passes un nom de fichier dans l'url finissant par .txt (tu vérifies juste l'extension), ça se voit facilement.
Donc ils ont ceryainement bidouillé par là.
Sinon le php, quand on est pas au courant au niveau sécurité (vérification de toutes les entrées sans oublier les cookies, attaques xss, utilisation d'expreg, etc), c'est _très_ dangereux :) (et très facile à "pirater" d'ailleurs)
_________________
Linux gentoo 2.6.18-ck1-r2 #1 PREEMPT Fri Nov 17 01:37:56 CET 2006 x86_64 AMD Athlon(tm) 64 Processor 3000+ AuthenticAMD GNU/Linux
Back to top
View user's profile Send private message
Scullder
Guru
Guru


Joined: 16 Mar 2006
Posts: 466
Location: France

PostPosted: Tue Jan 16, 2007 1:18 pm    Post subject: Reply with quote

Et pour tes chmod, tu met le strict minimum (laisses même pas l'écriture pour owner si pas besoin), et utilises correctement les groupes.
_________________
Linux gentoo 2.6.18-ck1-r2 #1 PREEMPT Fri Nov 17 01:37:56 CET 2006 x86_64 AMD Athlon(tm) 64 Processor 3000+ AuthenticAMD GNU/Linux
Back to top
View user's profile Send private message
OuinPis
Tux's lil' helper
Tux's lil' helper


Joined: 05 Jun 2006
Posts: 133
Location: a coté de Paris

PostPosted: Tue Jan 16, 2007 1:22 pm    Post subject: Reply with quote

Ce que je ne trouve pas très sécuritaire du tout c'est qu'on puisse lire le code source de ton site. Donc a partir de la : http://first-world.no-ip.info/ftp/ il est très simple de pouvoir aller la : http://first-world.no-ip.info/ftp/sub/php et d’aller y lire le contenu du fichier passwrd.php ici http://first-world.no-ip.info/ftp/sub/php/passwrd.php le résultat est la :
<?php
$pass_mysql='dsf778z2++sdf-sdf+-';
$login_mysql='root';
$host_mysql='localhost';
$db_mysql='first-world';
?>
Donc cette visibilité de ton code source n’est pas un choix très judicieux et j’aurais tendance a dire comme Scullder, quand on ne sait pas ce qu’on fait, on ne le fait pas ;)
_________________
Intel Core2 Duo 6400 @ 2.13GHz - 2Go DDRII 533
2.6.18-gentoo-r2 - gcc 4.1.1 - xorg 7.1 - KDE 3.5.5
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Jan 16, 2007 1:32 pm    Post subject: Reply with quote

OuinPis wrote:
Ce que je ne trouve pas très sécuritaire du tout c'est qu'on puisse lire le code source de ton site. Donc a partir de la : http://first-world.no-ip.info/ftp/ il est très simple de pouvoir aller la : http://first-world.no-ip.info/ftp/sub/php et d’aller y lire le contenu du fichier passwrd.php ici http://first-world.no-ip.info/ftp/sub/php/passwrd.php le résultat est la :
<?php
$pass_mysql='dsf778z2++sdf-sdf+-';
$login_mysql='root';
$host_mysql='localhost';
$db_mysql='first-world';
?>
Donc cette visibilité de ton code source n’est pas un choix très judicieux et j’aurais tendance a dire comme Scullder, quand on ne sait pas ce qu’on fait, on ne le fait pas ;)


Hé ben là, ça me tue 8O (etant non specialiste php).
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
alpha_one_x86
Guru
Guru


Joined: 29 Oct 2006
Posts: 544

PostPosted: Tue Jan 16, 2007 1:47 pm    Post subject: Reply with quote

Je le répete ce n'est pas mon pass: dsf778z2++sdf-sdf+-
Je fait mon site en open source, et ca vous ne m'en empêcherai pas :twisted:

Scullder tu a une remarque trés judicieuse, bien que je peu pas l'appliquer car j'ai des problème avec mon ftp...
Quote:
Sinon le php, quand on est pas au courant au niveau sécurité (vérification de toutes les entrées sans oublier les cookies, attaques xss, utilisation d'expreg, etc), c'est _très_ dangereux :) (et très facile à "pirater" d'ailleurs)

Oui je sais, et j'ai meme des failles connu que j'ai pas encore eu le temps de boucher. Si non je pense avoir correctement chrooter les utilisateur dans leur répertoire avec mon script php, mais je dit peu etre des connerie donc je vais vérifier....

EDIT: le seul pass que vous pouvais avoir acces c'est mon pass telent de l2j qui n'est accessible que sur le local host par filtre ip et avec le port non overt ni dans mon firewall ni dans ma box.
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Tue Jan 16, 2007 1:53 pm    Post subject: Reply with quote

alpha_one_x86 wrote:
Je le répete ce n'est pas mon pass: dsf778z2++sdf-sdf+-
(...)

Nan mais arretes: ceci est sans doute le hash de ton password mysql. Donc avec un peu de brut-force...ça doit se retrouver.
Enfin lis pas ce que j'ai marqué: tu dois pas savoir ce qu'est un hash ni le brut-force. :P
Bon ok promis j'arrete de me moquer...
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
anigel
Bodhisattva
Bodhisattva


Joined: 14 Apr 2003
Posts: 1889
Location: Un petit bled pas loin de Limoges ;-)

PostPosted: Tue Jan 16, 2007 2:03 pm    Post subject: Re: [piratage] je me fait pirater mais je trouve pas la fail Reply with quote

alpha_one_x86 wrote:
Bonjour, désoler d'encore vous déranger, mais la c'est critique, mon site ce fait pirater et je trouve pas la faille.

alpha_one_x86 wrote:
Oui je sais, et j'ai meme des failles connu que j'ai pas encore eu le temps de boucher.

Je ne vois rien de plus à ajouter, ton problème me semble (résolu) ?
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.
Back to top
View user's profile Send private message
lesourbe
l33t
l33t


Joined: 24 Nov 2005
Posts: 710
Location: Champagne !

PostPosted: Tue Jan 16, 2007 2:06 pm    Post subject: Reply with quote

si t'as du code qu'a été exécuté, va falloir débrancher, live-CDer puis formater.

sinon DMZ, snort et export des logs auraient pu t etre utiles
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.
Back to top
View user's profile Send private message
Display posts from previous:   
This topic is locked: you cannot edit posts or make replies.    Gentoo Forums Forum Index French All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum