On Tue, Oct 1, 2024 at 7:31 PM Laurent Barme <2...@barme.fr> wrote: > > > Le 01/10/2024 à 16:29, Franck Routier via FRsAG a écrit : > > Le mardi 1 octobre 2024, 15:27:30 CEST Kevin Labécot a écrit : > >> Je ne connais pas ce mode « hack » d’OVH ni si il y a des précisions mais > >> qui dit que ce n’est pas le serveur hôte qui est hacké ? > > l'intuition et l'espoir... > > En fait j'ai arrêté tous les containers et le problème ne réapparaît pas. > > Mon suspect principal est un site Spip, ou le reverse proxy nginx qui > > dispatch les requêtes... > Spip est un suspect crédible, comme tout CMS très populaire en PHP :-/ Spip est une très bonne piste si tu n' avais pas une version à jour. Je m' en suis fait pirater un aussi. Vu que spip a très peu de squelettes disponibles, et qu 'ils ne sont jamais compatibles avec les nouvelles versions qui n' ont plus de failles de sécurité, les propriétaires ont tendance à laisser traîner des vieilles versions vulnérables. Vérifie la version de spip que tu avais, si elle est vulnérable . . . C' est sûrement ton coupable.
> > Mais en effet, ça pourrait (aurait pu ...:-) ) être le serveur principal... > Quoiqu'il en soit, la seule solution vraiment fiable pour gérer un serveur > compromis c'est de tout réinstaller sur un serveur initialement vierge et en > n'y > important que des données inertes (absolument non exécutables) de tes > sauvegardes (tirées depuis l'extérieur comme décrit par Maxime et > inaccessibles > depuis le serveur sauvegardé). > > Il est même possible que ce ne soit pas forcément plus long que de tester les > containers un par un. > > Quoiqu'il en soit, bon courage ! > > Si tu pouvais nous en dire plus sur la compromission tel que les symptômes qui > ont fait passer ton serveur en mode "hack", la façon dont il aurait été > compromis, ou autres, cela pourrait nous aider… > > > > > >> — > >> Kevin > >> > >>> Le 1 oct. 2024 à 14:39, David Ponzone <david.ponz...@gmail.com> a écrit : > >>> > >>> Xav, > >>> > >>> Je crois que Franck ne sait pas quel container est fautif… > >>> > >>> J’ai envie de dire d’éteindre tous les containers, les allumer un par un, > >>> et prendre une trace réseau à chaque fois à la sortie de chaque container > >>> pour tenter de détecter du traffic anormal. > >>> Je suppose qu’ils sont en privée et que l’hôte les NAT ? > >>> > >>> Dav > >>> > >>>> Le 1 oct. 2024 à 13:27, Xavier Beaudouin via FRsAG <frsag@frsag.org > >>>> <mailto:frsag@frsag.org>> a écrit : > >>>> > >>>> Simple : > >>>> - Détruire le container > >>>> - Installer un container propre. > >>>> > >>>> De: "Franck Routier (perso) via FRsAG" <frsag@frsag.org > >>>> <mailto:frsag@frsag.org>> > >>>> À: "frsag" <frsag@frsag.org <mailto:frsag@frsag.org>> > >>>> Envoyé: Mardi 1 Octobre 2024 13:16:03 > >>>> Objet: [FRsAG] Container hacké, que faire > >>>> Bonjour, > >>>> > >>>> J'ai un serveur "bare metal" chez OVH, avec une Ubuntu, inclus (ex LXD) > >>>> et une série de containers. > >>>> Ce matin mes services étaient hors ligne : le serveur était passé en > >>>> mode "hack" par OVH. > >>>> J'ai redémarré le serveur et stoppé tous les containers. > >>>> D'après vous, comment procéder pour isoler et nettoyer le container > >>>> fautif ? > >>>> > >>>> Merci > >>>> > >>>> _______________________________________________ > >>>> Liste de diffusion du %(real_name)s > >>>> http://www.frsag.org/ > >>>> _______________________________________________ > >>>> Liste de diffusion du %(real_name)s > >>>> http://www.frsag.org/ > >>> _______________________________________________ > >>> Liste de diffusion du $real_name > >>> http://www.frsag.org/ > >> > > > > > > _______________________________________________ > > Liste de diffusion du $realname > > https://www.frsag.org/ > > _______________________________________________ > Liste de diffusion du French Sysadmin Group > https://www.frsag.org/ _______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
