On Fri, Apr 25, 2003 at 08:33:29AM +0200, Lionel ROUX wrote:
> Bonjour,
> J'ai besoin de votre aide !
> Je n'ai pu me connecter à mon serveur de la journée. Je pensais, à tord,
> à un pb de maj de dyndns comme cela m'est déjà arrivé : j'ai au
> contraire constaté qu'un "connard", passez-moi l'expression, s'est
> introduit sur mon serveur sous le nom de 'bugmafia", a modifié le mot de
> passe de root,et le reste ... ben je n'en sais rien....
Tu as eu de la chance, s'il n'avait pas fait ces "erreurs", il aurait pu
se garder un accès sur ta machine, et s'en servir dans des floodnets, ou
encore comme d'une machine de rebond. Il a pas été malin, c'est une
chance quelque part.
> Je ne comprends pas trop. Je suis pourtant derrière un modem-routeur
> senssé filtrer les ports, je ne sais pas comment faire pour "rétablir"
> ce m... :-(((((((
"J'ai un [firewall|truc qui filtre les ports] donc il peut rien
m'arriver."
C'est totalement faux, un firewall ne protège en rien des failles des
logiciels. Si tu laisses les connexions entrantes vers le port 80, et si
ton site contient des scripts php tout pourris, alors ton firewall ne
pourra strictement rien (c'est un exemple, je ne sais pas comment est
fait ton reseau chez toi).
> Quelqu'un pourrait-il m'aider... Comment rétablir le mot de passe root,
> comment vérifier et surtout quoi vérifier ?
> Dois-je tout reformatter et tout réinstaller ?
Comme on t'a dit, tu fais un backup des disques si possible, mais
d'abord, tu coupes la connexion au net. Tu as des outils comme tct ou
sleuthkit, voir meme chkrootkit qui peuvent t'aider à savoir ce qu'il a
fait sur la machine. Ensuite, une fois que tu sais comment il est entré,
ce qu'il a fait, là tu peux réinstaller ce qu'il faut (si des binaires
ont été changés par ceux d'un rootkit, rétablir des binaires normaux).
Pour le mot de passe root, tu démarres en init 1, ou bien avec une d7 de
boot.
> autre point, aà votre avis, cela vaut-il la peine, éventuellement, de
> déposer une plainte au commissariat ?
> Comment ce type d'intrusion "pour le plaisir de tout casser" est-il
> qualifiable juridiquement ? N'est-ce pas assimilable à une "violation
> de domiicile", à une effraction ?
Mouhahahahaha. Désolé mais c'est vraiment marrant. Le gendarme il va
faire quoi si le type est en bolivie, bulgarie ou a petaouchnok ?
Ce type d'intrusion est qualifiable d'acte de script kiddie. Si tu veux
*vraiment* faire quelque chose, tu retrouves dans tes logs l'adresse ip
de la machine qui a servie à t'attaquer, tu la files à l'abuse de ton
fai, et tu attends qu'il se passe quelque chose.
Mais comme tu le sais déjà, il ne se passera rien, tout simplement parce
que c'est une intrusion bénine, sans grave conséquence.
--
We are the knights who say
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc