- On 2007-08-30, Anthony <nospam@free.fr> wrote:
- > Setaou a écrit :
- >> Pourquoi ne pas penser de manière plus plausible que le hacker a réussi
- >> a accéder à votre fichier shadow (par un moyen ou un autre, faille de
- >> sécurité, privilege escalation...) et l'a décodé (par
- >> http://www.plain-text.info/ ou un autre).
- >>
- >
- > je rejoins cet avis.
- > combien de serveurs ont été touché chez dedibox déjà ? êtes vous
- > certains que d'autre serveur chez d'autre prestataires n'ont pas été
- > touchés ? ( et n'en aurait peut être pas fait communication )
- >
- > si l'attaque était au niveau dedibox, avec récupération d'une liste de
- > mot de passe root, je pense que des centaines de serveurs seraient
- > touchés à l'heure actuelle. Vu le niveau de compétences de nombreux
- > usagers ( des novices qui sautent sur l'occasion d'un dédié pas cher
- > )... tout le réseau dédi serait déjà bombardé.
- >
- > je pense qu'à la vue du peu d'infos disponibles... c'est vite sauter sur
- > une hypothèse un peu facile.
- C'est peut-être trop loin pour beaucoup, mais il y a eu une série de
- hacks similaires fin mars, et je fais partie de la liste des victimes...
- Ce qu'il s'est passé chez moi, c'est trois tentatives échouées de
- connexion SSH en root avec identification par mot de passe (j'ai
- interdit les connexions SSH en root dès le début). Ensuite j'ai une
- connexion avec mon username, identification par mot de passe, réussite
- du premier coup, suivi d'un su, pareil réussite du premier coup. En
- supposant qu'on puisse croire mes logs, parce qu'à partir du moment où
- il y a un accès root, on ne peut plus faire confiance à rien.
- Ensuite avec cet accès root, si on peut faire confiance à
- .bash_history la seule chose qu'il a faite c'est chercher un fichier de
- configuration apache (avec locate puis ls) sans le trouver (j'utilise
- lighttpd). Comme il a été évoqué dans le cas présent, il y a un décalage
- surprenant entre le niveau de l'attaque (compromission de deux mots de
- passe, zCMqo2785f et tUjDvSwD3D, je vous laisse évaluer la difficulté de
- les deviner) et les actions qui semblent avoir été comises (locate, ls
- et c'est fini).
- Cet utilisateur et ces deux mots de passe ont été entrés dans la
- console dedibox au moment de l'installation. Je peux comprendre que mon
- login et mon mot de passe user aient été compromis, je les ai utilisés
- sur des windows pas forcément super-bien entretenus. Mais mon mot de
- passe root, je ne l'ai tapé qu'à l'installation dans la console, et
- ensuite pour me faire un su dans mon screen user. Donc je n'ai jamais
- tapé ce mot de passe ailleurs qu'à l'install, plus de 200 jours avant
- l'intrusion. Du coup, j'aimerais bien savoir comment il a été compromis.
- Je ne fais aucune accusation envers l'équipe Dedibox, je ramène juste
- des faits. J'ai tendance à croire le staff quand il disent que ces mots
- de passe ne sont pas stockés (du moins à leur connaissance), mais je
- pense qu'ils ne le prendront pas mal si je joue la saine paranoïa de
- l'administrateur en considérant les mots de passe que je leur donne
- comme compromis.
- Du coup à ma reinstall, j'ai supprimé l'user créé par à
- l'installation et j'ai changé le mot de passe root. J'ai aussi interdit
- tous les mots de passe dans SSH, les clés y a que ça de vrai. Mais si un
- jour j'ai une tentative de connexion par ce login, long qui ne veut rien
- dire et que je n'ai jamais utilisé ailleurs, j'aurai vraiment de sérieux
- doutes quant à la sécurité de la procédure d'installation.
- En espérant avoir apporté des informations utiles,
- Pierre-Louis Porté