On Tue, Oct 1, 2024 at 7:31 PM Laurent Barme <2...@barme.fr> wrote:
>
>
> Le 01/10/2024 à 16:29, Franck Routier via FRsAG a écrit :
> > Le mardi 1 octobre 2024, 15:27:30 CEST Kevin Labécot a écrit :
> >> Je ne connais pas ce mode « hack » d’OVH ni si il y a des précisions mais 
> >> qui dit que ce n’est pas le serveur hôte qui est hacké ?
> > l'intuition et l'espoir...
> > En fait j'ai arrêté tous les containers et le problème ne réapparaît pas. 
> > Mon suspect principal est un site Spip, ou le reverse proxy nginx qui 
> > dispatch les requêtes...
> Spip est un suspect crédible, comme tout CMS très populaire en PHP :-/
Spip est une très bonne piste si tu n' avais pas une version à jour.
 Je m' en suis fait pirater un aussi.
 Vu que spip a très peu de squelettes disponibles, et qu 'ils ne sont
jamais compatibles avec les nouvelles versions qui n' ont plus de
failles de sécurité, les propriétaires ont tendance à laisser traîner
des vieilles versions vulnérables.
 Vérifie la version de spip que tu avais, si elle est vulnérable . . .
C' est sûrement ton coupable.

> > Mais en effet, ça pourrait (aurait pu ...:-) ) être le serveur principal...
> Quoiqu'il en soit, la seule solution vraiment fiable pour gérer un serveur
> compromis c'est de tout réinstaller sur un serveur initialement vierge et en 
> n'y
> important que des données inertes (absolument non exécutables) de tes
> sauvegardes (tirées depuis l'extérieur comme décrit par Maxime et 
> inaccessibles
> depuis le serveur sauvegardé).
>
> Il est même possible que ce ne soit pas forcément plus long que de tester les
> containers un par un.
>
> Quoiqu'il en soit, bon courage !
>
> Si tu pouvais nous en dire plus sur la compromission tel que les symptômes qui
> ont fait passer ton serveur en mode "hack", la façon dont il aurait été
> compromis, ou autres, cela pourrait nous aider…
>
>
> >
> >> —
> >> Kevin
> >>
> >>> Le 1 oct. 2024 à 14:39, David Ponzone <david.ponz...@gmail.com> a écrit :
> >>>
> >>> Xav,
> >>>
> >>> Je crois que Franck ne sait pas quel container est fautif…
> >>>
> >>> J’ai envie de dire d’éteindre tous les containers, les allumer un par un, 
> >>> et prendre une trace réseau à chaque fois à la sortie de chaque container 
> >>> pour tenter de détecter du traffic anormal.
> >>> Je suppose qu’ils sont en privée et que l’hôte les NAT ?
> >>>
> >>> Dav
> >>>
> >>>> Le 1 oct. 2024 à 13:27, Xavier Beaudouin via FRsAG <frsag@frsag.org 
> >>>> <mailto:frsag@frsag.org>> a écrit :
> >>>>
> >>>> Simple :
> >>>> - Détruire le container
> >>>> - Installer un container propre.
> >>>>
> >>>> De: "Franck Routier (perso) via FRsAG" <frsag@frsag.org 
> >>>> <mailto:frsag@frsag.org>>
> >>>> À: "frsag" <frsag@frsag.org <mailto:frsag@frsag.org>>
> >>>> Envoyé: Mardi 1 Octobre 2024 13:16:03
> >>>> Objet: [FRsAG] Container hacké, que faire
> >>>> Bonjour,
> >>>>
> >>>> J'ai un serveur "bare metal" chez OVH, avec une Ubuntu, inclus (ex LXD) 
> >>>> et une série de containers.
> >>>> Ce matin mes services étaient hors ligne : le serveur était passé en 
> >>>> mode "hack" par OVH.
> >>>> J'ai redémarré le serveur et stoppé tous les containers.
> >>>> D'après vous, comment procéder pour isoler et nettoyer le container 
> >>>> fautif ?
> >>>>
> >>>> Merci
> >>>>
> >>>> _______________________________________________
> >>>> Liste de diffusion du %(real_name)s
> >>>> http://www.frsag.org/
> >>>> _______________________________________________
> >>>> Liste de diffusion du %(real_name)s
> >>>> http://www.frsag.org/
> >>> _______________________________________________
> >>> Liste de diffusion du $real_name
> >>> http://www.frsag.org/
> >>
> >
> >
> > _______________________________________________
> > Liste de diffusion du $realname
> > https://www.frsag.org/
>
> _______________________________________________
> Liste de diffusion du French Sysadmin Group
> https://www.frsag.org/
_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/

Répondre à