Le 2013-08-26 14:05, alain vanranst a écrit :
Bonjour la liste,
config : serveur kimsufi chez ovh,
mon serveur vient de se faire hacké.
Le mot de passe root a été changé, mais, pas celui de postgres.
Je peux donc encore me connecter en ssh via ce compte.
Connaissez-vous une méthode pour reprendre la main sur root et
rechanger
le pw ?
Il faut redémarrer ton serveur en mode rescue. Puis changer le mot de
passe en faisant un chroot sur ta partition système.
By the way, par où dois-je commencer pour essayer de comprendre par où
il est passé ?
Une connexion en ssh avec postgres c'est bizarre, l'utilisateur
postgres est un utilisateur système et ne devrait pas avoir de mot de
passe, donc aucune possibilité de se connecter en SSH. Peut être que le
problème vient de là ou d'un autre user système avec un mot de passe.
Dans tout les cas, la personne qui est rentrée dans ton système a pu
changer pleins de trucs. Tu ne peux donc avoir confiance en aucun
fichier sur ton serveur. Les logs ont pu être falsifiés, les dates
d'accès au fichier aussi, ton noyau a pu être modifié ....
Il faut donc réinstaller avec une sauvegarde faite avant l'attaque.
Mais tu auras toujours la même faille.
Pour connaître la faille sur ton système, tu peux explorer les logs,
c'est un bon point de départ si ils n'ont pas été modifié ! Sinon, une
debian de base ne contient pas de faille, c'est donc toi en faisant la
configuration qui a créé la faille. Donc tu peux étudier en détails les
étapes de configuration.
Est-ce que tes mots de passe sont correct ?
Enfin, il y a eu un problème chez OVH, en gros ils se sont fait volé
des mot de passe, c'est peut être aussi une piste.
Julien
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive:
http://lists.debian.org/5a138b2994cefb6a5d8df80ac4f78...@127.0.0.1nura.eu
