Recent Posts
spawn weps
PAWN | 8 sec ago
klauskiwi
None | 16 sec ago
Anonymous
None | 21 sec ago
Anonymous
None | 31 sec ago
Anonymous
None | 51 sec ago
Anonymous
None | 1 min ago
Anonymous
None | 1 min ago
Anonymous
MySQL | 1 min ago
Programma in C(no C++); 10 pt al migliore.
C | 1 min ago
Arquivo Botao
ActionScript | 1 min ago
Sitereport
Find cool info about any domain on the internet?
visit sitereport
Free Subdomains
Want a pastebin.com sub-domain for your community?
learn more...
What is pastebin?
Pastebin is a website that hosts all your text & code on dedicated servers for easy sharing.
learn more...
Learn a little bit about the new Pastebin.com on our help page. hide message
By redox on the 30th of Aug 2007 11:02:15 AM Download | Raw | Embed | Report
  1. On 2007-08-30, Anthony <nospam@free.fr> wrote:
  2. > Setaou a écrit :
  3. >> Pourquoi ne pas penser de manière plus plausible que le hacker a réussi
  4. >> a accéder à votre fichier shadow (par un moyen ou un autre, faille de
  5. >> sécurité, privilege escalation...) et l'a décodé (par
  6. >> http://www.plain-text.info/ ou un autre).
  7. >>
  8. >
  9. > je rejoins cet avis.
  10. > combien de serveurs ont été touché chez dedibox déjà ? êtes vous
  11. > certains que d'autre serveur chez d'autre prestataires n'ont pas été
  12. > touchés ? ( et n'en aurait peut être pas fait communication )
  13. >
  14. > si l'attaque était au niveau dedibox, avec récupération d'une liste de
  15. > mot de passe root, je pense que des centaines de serveurs seraient
  16. > touchés à l'heure actuelle. Vu le niveau de compétences de nombreux
  17. > usagers ( des novices qui sautent sur l'occasion d'un dédié pas cher
  18. > )... tout le réseau dédi serait déjà bombardé.
  19. >
  20. > je pense qu'à la vue du peu d'infos disponibles... c'est vite sauter sur
  21. > une hypothèse un peu facile.
  22.  
  23.    C'est peut-être trop loin pour beaucoup, mais il y a eu une série de
  24. hacks similaires fin mars, et je fais partie de la liste des victimes...
  25.  
  26.    Ce qu'il s'est passé chez moi, c'est trois tentatives échouées de
  27. connexion SSH en root avec identification par mot de passe (j'ai
  28. interdit les connexions SSH en root dès le début). Ensuite j'ai une
  29. connexion avec mon username, identification par mot de passe, réussite
  30. du premier coup, suivi d'un su, pareil réussite du premier coup. En
  31. supposant qu'on puisse croire mes logs, parce qu'à partir du moment où
  32. il y a un accès root, on ne peut plus faire confiance à rien.
  33.  
  34.    Ensuite avec cet accès root, si on peut faire confiance à
  35. .bash_history la seule chose qu'il a faite c'est chercher un fichier de
  36. configuration apache (avec locate puis ls) sans le trouver (j'utilise
  37. lighttpd). Comme il a été évoqué dans le cas présent, il y a un décalage
  38. surprenant entre le niveau de l'attaque (compromission de deux mots de
  39. passe, zCMqo2785f et tUjDvSwD3D, je vous laisse évaluer la difficulté de
  40. les deviner) et les actions qui semblent avoir été comises (locate, ls
  41. et c'est fini).
  42.  
  43.    Cet utilisateur et ces deux mots de passe ont été entrés dans la
  44. console dedibox au moment de l'installation. Je peux comprendre que mon
  45. login et mon mot de passe user aient été compromis, je les ai utilisés
  46. sur des windows pas forcément super-bien entretenus. Mais mon mot de
  47. passe root, je ne l'ai tapé qu'à l'installation dans la console, et
  48. ensuite pour me faire un su dans mon screen user. Donc je n'ai jamais
  49. tapé ce mot de passe ailleurs qu'à l'install, plus de 200 jours avant
  50. l'intrusion. Du coup, j'aimerais bien savoir comment il a été compromis.
  51.  
  52.    Je ne fais aucune accusation envers l'équipe Dedibox, je ramène juste
  53. des faits. J'ai tendance à croire le staff quand il disent que ces mots
  54. de passe ne sont pas stockés (du moins à leur connaissance), mais je
  55. pense qu'ils ne le prendront pas mal si je joue la saine paranoïa de
  56. l'administrateur en considérant les mots de passe que je leur donne
  57. comme compromis.
  58.  
  59.    Du coup à ma reinstall, j'ai supprimé l'user créé par à
  60. l'installation et j'ai changé le mot de passe root. J'ai aussi interdit
  61. tous les mots de passe dans SSH, les clés y a que ça de vrai. Mais si un
  62. jour j'ai une tentative de connexion par ce login, long qui ne veut rien
  63. dire et que je n'ai jamais utilisé ailleurs, j'aurai vraiment de sérieux
  64. doutes quant à la sécurité de la procédure d'installation.
  65.  
  66.  
  67.    En espérant avoir apporté des informations utiles,
  68.  
  69. Pierre-Louis Porté
Submit a correction or amendment below. Make A New Post
To highlight particular lines, prefix each line with @h@
Syntax highlighting:
Post expiration:
Post exposure:
Name / Title:
Email: