Re: Serveur CS sous linux hacked ...

Pàgina inicial

Reply to this message
Autor: Nico
Data:  
A: guilde
Assumpte: Re: Serveur CS sous linux hacked ...
Olivier :

>     Ta question est très très vague. Quells étaient les services qui 
> tournaient sur la machine ? CounterStrike, certes, mais quoi d'autre ? 
> SSH ? Apache ? Samba ? FTP ? etc...

>

ssh, apache2, samba, psyBNC, spamassassin, mysql, vsftpd, vsftpd.

>     Dans ce que tu indiques, rien n'indique que le pirate est passé 
> par le serveur CS lui-même.


Bien c'est ce que j'ai supposé quoi car, pour l'instant je n'ai vu que
le nom et le rcon du serveur qui a changé. Aucun rajout de fichier dans
mon home ou dans mon /root/ , ni supressions de fichiers, ni
modification de mon site...

>
>     Avais-tu configuré netfilter, le firewall de Linux ?

>

Voui comme tu me l'a appris ;)

>     Ta machine était-elle bien mise à jour ? Le kernel notamment ?


Ben la je ne sais pas trop ... ce que je me contente de faire pour le
moment c'est un apt-get update puis upgrade. J'imagine que ca ne dois
pas etre suffisant pour le kernel ...

Xavier :

>Quelle version ? Depuis que les dernières versions commerciales sont
>sorties (CS Source) je ne suis pas sûr qu'il y ait un suivi sur les versions
>précédentes pour les problèmes de sécurité.
>

Bien étant donnée que je fais des mises à jour a chaque lancement
(auto-update), sûrement la dernière, sinon comment la connaitre ?


>Failles exploitables : débordement de tampon (buffer overflow)
>plus ou moins connu ou mot de passe trop faible ce sont les premières
>choses qui peuvent être essayées.
>
>

Bien en fait concernant le mot de passe, bon ok c'était pas un mot de
passe très compliqué (un prénom) mais bon le gars ne pe pas faire de
brute force la dessus car sinon il se fait ban son IP (genre au bout de
7 ou 8 coups).
En fait, lorsque mon pot m'a dit que le serveur c'était fait hacker,
j'ai regardé le nom du serveur, mais aussi le mot de passe du rcon, j'ai
ensuite fais une recherche dans mes fichiers log avec comme mot de
recherche le mot de passe du rcon. J'ai pu ainsi tout d'abord trouver
son IP, puis j'ai trouvé son steam ID (celui reste fixe à moins qu'il
soit riche comme Crésus et qu'il se soit acheté plein de clés CS ...).
J'ai ensuite fais une recherche dans les logs avec ce steam ID, je me
suis aperçu qu'il était venu la veille (avec une IP différente ...) pour
apparement faire un gather (match improvisé avec des gens qu'on ne
connait pas tout le temps :)). Environ un jour plus tard, soit le 4
avril, voila ce qu'il a fait :

    L 04/05/2005 - 16:26:02: "&!(!'()!<2166><STEAM_ID_PENDING><>" 
connected, address "62.166.195.234:1063"
    L 04/05/2005 - 16:26:32: "&!(!'()!<2167><STEAM_ID_PENDING><>" 
connected, address "62.166.195.234:1063"
    L 04/05/2005 - 16:27:01: "viZ-<2168><STEAM_ID_PENDING><>" connected, 
address "62.166.195.234:1065"
    L 04/05/2005 - 16:27:16: Bad Rcon: "rcon 864527244 "moo" 
sv_restartround 1" from "62.166.195.234:1063"
    L 04/05/2005 - 16:27:16: "Anus<2169><STEAM_ID_PENDING><>" connected, 
address "62.166.195.234:1067"
    L 04/05/2005 - 16:27:23: Bad Rcon: "rcon 864527244 "moo" 
rcon_password moo " from "62.166.195.234:1063"
    L 04/05/2005 - 16:27:27: Rcon: "rcon 864527244 
"mon_rcon_avant_le_hackage" rcon_password moo " from "62.166.195.234:1063"


En gros il a tenté de changer une configuration du serveur avec son rcon
2 fois d'affiler, voyant que ca ne marche pas, il a rentré mon rcon puis
l'a changé avec le sien ...
Alors moi en fait en voyant ça, j'ai l'impression que ce gars ne s'y
connaissais pas trop, et qu'il a eu mon rcon peut être par une fuite de
mon équipe.
Qu'en pensez vous ?


>As tu vu d'autres changements dans le système (trace dans les logs,
>fichiers incongrus, ...) ? La motivation du pirate peut être de saccager
>le serveur en place (un mauvais perdant ?) ou de chercher un accès
>sur le système en tant que tel.
>

Ben non, pas de fichiers effacé (en tout cas ceux dans mon home et mon
/root/ , pas de changement de mes iptables ...
Pour la recherche dans les logs du serveur debian, comment je fais ?
J'ai fait : cat /var/log/* | grep 62.166.195.234 avec donc l'adresse IP
au momment du hacking mais j'ai rien trouvé (je ne suis pas sur que ce
soit la bonne commande) et il me met plusieurs fois que tel truc est un
répertoire ...

Bon si vous avez besoin de plus d'info n'hésitez pas.

Question hors sujet : J'ai fait la commande : cat * | grep
STEAM_0:0:122627 > zzzz & afin donc de mettre toutes les lignes qui
contenaient STEAM_0:0:122627 et provenant de tous mes logs de CS, dans
un fichiers nommé zzzz. Je ne comprend pas pourquoi ce fichier pesait
plusieurs Go (et encore ca s'est arrété car le "média était limité" ...)
alors que pourtant tout ce qu'il met dans zzzz provient des fichiers de
log qui eux ne pèsent pas très lourd (quelques Ko).



Nico