Salut à tous,
 
bon, je suis pas trop fier sur le coup là.
J'utilise une passerelle linux pour me connecter au net et faire tourner quelques application (apache, mysql, samba). Je m'y connecte via ssh.
 
Je venais de reinstaller mon système et je n'avait pas encore configurer iptables.
 
Il semble qu'un petit malin se soit sonnecté sur mon ordi et ait écrasé le mot de passe du root (en fait, ce n'est pas la première fois, mon ordi ayant visiblement servi à faire du sniffing d'IP). Visiblement, pas d'autres dégats mais c'est assez chiant.
 
Ma partition principale est en reiserfs donc pas moyen de me connecter via linux single.
 
Quelqu'un connait un moyen de reinitialiser mon mot de passe root ? Pas trop envie de tout réinstaller de nouveau

j'imagine d'en bootant sur une knoppix (ou autre) et en te chrootant dans ta partition système, tu aura la possibilité de faire un passwd

même si ma partition est en reiserfs ?

pour peu que le noyau le supporte.
ma version est une 3.1 et elle le supporte.

Tu devrais quand même penser à sécuriser ta machine. Sinon qu'elle est servie pour du sniffing me parrait bizarre, ou alors ton resau local.

 
Pour ce qui est de sécuriser la machine, rassure toi, je vais m'y coller sérieusement.
 
Pour le sniffing, voila un extrait du mail reçu de mon fournisseur d'accès. Pas vraiment le genre de truc qui fait plaisir...
 
SPI Incident Response <incident.response-427177@securepipe.com> wrote:
> >
> > > Complaint ID: [securepipe.com #427177]
> > >
> > > The following is a complaint against an IP or domain which appeared in
> our
> > > logs, indicating possible network abuse.  If you have received this
> report
> > > in error, please forward it to the appropriate party or let us know.
> > >
> > > SUSPECT IP: xxx.xxx.xxx.xxx
> > >
> > > A user, apparently from your network, probed port 139 (NETBIOS) on the
> IPs
> > > appearing below.  This port is commonly used for Windows filesharing.
> > >
> > > Because the scan targetted an entire network, it should be viewed as an
> > > overtly hostile action.
> > >
> > > All timestamps below are in UTC -0000 (Greenwich Mean Time)

oui ou elle a p-t servi de passerelle pour des scans d' @ip.
autrement moins propre que la soluce de 911gt3, tu peux utiliser un chtit exploit, par ex si ton
noyal est inférieur au 2.4.20 et non patcher tu peux utiliser la faille ptrace. et pas besoin de rebooter.

 
J'utilise effectivement une Debian 2.4.18-bf2.4, non patchée (pas la peine de vous dire "on a affaire à un champion" ).
 
Tu peux développer un peu comment utiliser cette faille ?

tu recherches sur le net l'exploit ptrace.c , tu le compil, tu l execute et t es root.
puis passwd et ça roule

bah merci bcp, je vais essayer ça.
 
Merci à tout le monde  

bah ça a marché    
Je suis un peu sur le cul quand même...
 
Merci encore à tout le monde.    
 
Pas la peine de vous dire que je passe ma soirée à installer les patch de sécurité + iptables.  

Bah passes a un 2.4.21+grsec ;o)
(dis t'il pour faire staïle )

 
mais évite de le mettre en niveau HIGH parce qu'après, X démarre plus

Bah en même temps, pour une passerelle accessible uniquement par SSH, X n'est pas forcément nécessaire ...
Ce que je conseillerais : une Deb stable sur laquelle tu mets les paquets Adamantix (autrement connue sous le nom de "Trusted Debian" ) dispo ici :
http://www.trusteddebian.org/
 
Tu peux suivre attentivement leur conseils et tutoriels, normalement tu ne devrais plus avoir te pbs de ce type. Ils proposent des noyaux compilés à leur manière avec tout les patches qui vont bien, ainsi que beaucoup de paquets (tout ce qui servira à ta passerelle pratiquement) ont été recompilés pour offrir une meilleur sécurité (Pax et compagnie). En faisant maj hebdomadaires avec apt et en configurant correctement ton système et ton iptables, tu devrais avoir quelque chose de bien balèze. Sinon, penses aussi à Bastille Linux ou d'autres kits si tu ne veux pas utiliser Adamantix.

Je peux hurler ?
 
Oui, hurler, parce qu'il y a 99 % de chances pour qu'un rootkit soit installé sur ta machine, et qu'à partir de là en conserver le moindre exécutable ou librairie soit la dernière chose à faire !
 
Il n'y a qu'une chose à faire avec ta machine : La foutre en l'air !
 
Tu auras beau installer iptables et ce que tu veux, tu ne seras plus jamais chez toi ...  
 
Maintenant tu fais ce que tu veux ...
 
Coté firewall, une bonne alternative pour une configuration qui pense aux règles de bases pour nous (respect des RFC, anti spoof, etc), c'est shorewall : http://www.shorewall.net/
 
Bonne reinstallation (j'insiste FORTEMENT)
 
M

 
Je parlais pour une WS

Bien sûr, mais dans le cas présent :

D'ailleurs, c'est plutôt normal et rassurant que grsec ne permette pas le lancement de X en mode de sécurité maximal ... non ?

Oui, c'est pour ça que je viens de préciser.
 

 
Oui évidemment, mais là n'est pas la question.
Enfin bref.

 
Pas faux
 
Je crois que je vais suivre ton avis alors...

Et qu'est-ce que tu penses de mon post, un peu plus haut ?

 
   
 
Bah tant qu'à reinstaller tout, autant le faire bien et prendre les recommandations d'Adamantix en considération.
Et comme tu le disais, je n'ai pas besoin de serveur X.
 
Enfin, je pensais vraiment qu'un pauvre particulier comme moi était à l'abris de ce genre d'attaque  

 
Juste une petite question si tu utilises Adamantis :
 
Il suffit simplement d'installer les 4 package via apt-get ? Ca semble un peut trop simple non ?

bah en lisant le site c'est assez claire il me semble
cf : http://www.trusteddebian.org/installation.html  
 

 
tu as peut-être raison.
mais vu le mail que latruffe a reçu de son FAI je dirai que ça ressemble plus à du bounce scan. genre si tu à un accès anonyme sur ton serveur ftp.
mais si tu n'es pas sûr réinstall c'est beaucoup plus prudent.
et utilise des logiciels tel que tripwire ou AIDE pour vérifier l'intégriter des tes fichiers et binaires sensibles en plus de adamantix

d ailleurs comment voir si un rootkit est present ??
 
fo se taper la verification des signature de tous les executables sensibles du systeme ??

Aucune chance. Le "hacker" il installe un rootkit et il patch pas contre ptrace? Ca veut dire qu'il laisse son nouveau joujou accessible à n'importe qui? Il est pas très bon alors.
 
CHaiCA

patché le noyau ? donc rebooter la machine ?
(en admettant qu'il y ait un pass sur le bios au boot il aura l'air joli en perdant sa machine hackée )

Faut vouar. Un password dans le bios ca signifie que le mec quand il veut rebooter son serveur il doit se déplacer. Si ton serveur est dans une salle serveur et que tu l'administres à distance, aucune chance. Si il est chez toi, pourquoi foutre un mdp au bios?  
 
M'enfin quandtu prends le contrôle d'une machine distante et que tu comptes la ré-utiliser, la première chose à faire c'est de la blinder selon moi.
Mais bon pour ce que j'y connais...
 
CHaiCA

Une machine  dans une salle serveur sera assuré mieux protégé que la machine de notre ami la truffe ( le controle de cette machine étant dès lors _bcp_ plus difficile ) .
Quand au mot de passe dans le bios chez soi, pk pas ?  
Ne serais qu'un serveur disons a la FAQ, afin d'empecher le clampin moyen de faire ce qu'il veut sur une machine ' plus ou moins publique', ca me parait logique ( normalement il n' y a aucune raison de rebooter un *nux/*bsd ).
Pour la seconde partie si tu la blindes la machine, l'utilisateur 'normal' se rendra compte assez vite du problème (bah vi il n'a plus acces a sa machine ) ne serait ce que la, l'histoire de changer son pass root & donc tu perds bcp plus rapidement les avantages que tu aurais pu tiré de la machine ... il aurait mieux valu créer un autre compte ayant les memes droits que root que d'aller modifier directement le pass du root , ce n'est pas tres discret comme truc
 

comme installer un rootkit, par exemple....

et comment le detecter ??

chkrootkit ?  
(ca devrait éliminer le plus gros )

oui ok c le + connu, mais y a rien d autre ??
 
c un peu lege je trouve

 
Tu décompiles toi-même 'ls' et tu vérifies le code décompilé.
Sur tous les rootkits tu auras une version de 'ls' modifiée.
Pour être sûr, décompile les commandes comme 'top' ou 'ps' aussi.

mes journees ne font ke 24h malheureusement

 
Ca prend 30 secondes à vérifier par rapport à un 'ls' normal.
Et puis si ça t'intéresses pas alors réinstalle le système sans comprendre comment ta machine s'est fait rootée et puis basta.
 
Mais demande pas après comment on peut faire pour savoir si ya un rootkit d'installer si tu n'as pas le temps

fo pas s enerver comme ca mo, bon monsieur