Piratage de fou, qui ?

Bonjour,

une personne mal intentionné c’est connecté sur mon serveur.
cette personne à supprimé des fichiers important, ainsi que tout le repertoire /var/log, aussi dans le répertoire root, je n’ai plus que le fichier bash_history.

donc j’ai regardé l’history et je vois :

mes site web
rm -rf fabien493.com
10 rm -rf fabien493.comOLD/
11 rm -rf legraindelabeaune/
12 rm -rf lolo.fabien493.com/
13 rm -rf restaurant-indiana.fr/
14 rm -rf theshadowskings/

Les zones :

cd /etc/bind
31 ls
32 rm db.fabien493.com
33 rm db.legraindelabeaune.com
34 rm db.restaurant-indiana.fr
35 rm named.conf.local
36 vi named.conf.options
37 vi named.conf

Les logs :

64 rm /var/log/auth.log*
65 rm /var/log/messages*
66 rm /var/log/daemon.log
67 rm /var/log/dmesg*
68 rm /var/log/daemon.log.*
69 rm /var/log/kern.log*
70 rm /var/log/mail.*
71 rm /var/log/mysql*
72 rm /var/log/syslog*
73 rm /var/log/user.log*
74 rm /var/log/dpkg.log*
75 rm /var/log/apache2/*
76 rm /var/log/debug*
77 rm /var/log/samba/*

et d’autre truc persso…Ha tien truc bizarre:

su uucpm
su uucpd

c’est quoi cette connerie ?

donc voila je suis dans le caca, et je suis meme pas sur qu’après un reboot le serveur fonctionne.
Il me reste encore pas mal de fichier donc je vais devoir réinstaller.

Donc la question que tout le monde ce demande : " comment savoir qui c’est ? "
je crois qu’on peut savoir qu’elle ip c’est connécté dernierement en root, mais je me souviens plus de la commande.

Merci de toute vos réponse,

Amicalement,
Fabien493

ha je viens de voir aussi qu’il a supprimé toute mes base de donné mysql et la je suis vraiment dans la merde.

ha aussi mes fichiers de conf de samba.

fab

[quote=“fabien493”]Ha tien truc bizarre:

su uucpm
su uucpd

c’est quoi cette connerie ?[/quote]
UUCP = Unix to Unix Copy Program. Un vieux protocole de transfert de données qui peut marcher sans liaison réseau, par exemple à travers une liaison série.

[quote=“fabien493”]donc voila je suis dans le caca, et je suis meme pas sur qu’après un reboot le serveur fonctionne.
Il me reste encore pas mal de fichier donc je vais devoir réinstaller.[/quote]
De toute façon ton serveur a été compromis, il faut tout réinstaller à partir d’une base saine.

[quote=“fabien493”]Donc la question que tout le monde ce demande : " comment savoir qui c’est ? "
je crois qu’on peut savoir qu’elle ip c’est connécté dernierement en root, mais je me souviens plus de la commande.[/quote]
S’il y a eu un login (par exemple par ssh si l’attaquant a trouvé ton mot de passe), ça devrait être dans /var/log/wtmp que je n’ai pas vu dans la liste des fichiers effacés, lisible avec la commande ‘last’. Mais si l’attaquant a exploité une faille dans un programme pour exécuter du code arbitraire et lancer un shell, tu ne verras rien.

commande last :

root@GHOTS:/# last last: /var/log/wtmp: No such file or directory Perhaps this file was removed by the operator to prevent logging last info.

le truc c’est que y’a plus rien dans /var/log par-contre je sais ce qu’il a fait grace a la commande history

Avec un last on n’a pas l’ip du dernier login root
quand tu te connect en ssh y’a écrit “last login IP” c’est ça que je cherche,j’ai pas regarder quand je me suis connecté.

un autre truc , sur mon ps aux:
root 10007 0.0 0.0 1764 500 tty2 Ss+ 22:34 0:00 /sbin/getty 38400 tty2
root 10012 0.0 0.0 1764 508 tty3 Ss+ 22:34 0:00 /sbin/getty 38400 tty3
root 10017 0.0 0.0 1764 508 tty4 Ss+ 22:34 0:00 /sbin/getty 38400 tty4
root 10022 0.0 0.0 1764 508 tty5 Ss+ 22:34 0:00 /sbin/getty 38400 tty5
root 10027 0.0 0.0 1764 504 tty6 Ss+ 22:34 0:00 /sbin/getty 38400 tty6
root 10041 0.0 0.0 1764 504 tty1 Ss+ 22:35 0:00 /sbin/getty 38400 tty1

quand je les kill ils reviennent.

Merci pour ta réponse

Effacé.

En tant que particulier, sans porter plainte, je pense que tu ne sauras jamais qui c’est… sauf si il est vraiment stupide et s’est connecté avec son adresse ip.
Tu avais des applications php? Ou un mot de passe facile?

Effectivement j’ai des sauvegarde “etc” et “www” donc les confs, et les site web, pour le reste programme ect c’est dans une faille tectonique noir, d’où personne reviens…

c’est vrai que ce taper un “rm” repertoire par répertoire c’est dingue, mais en plus il à laisser des fichiers bien plus important que le reste, j’ai l’impression que ce qu’il cherchais était de s’attaquer au système, Apache, samba, ect… et d’éffacer c’est trace avec le rm /var/log.

history complet :
1 vi /etc/apache2/sites-enabled/legraindelabeaune.com
2 cd /mnt/SiteWeb/.www/
3 ll
4 ll legraindelabeaune/
5 cd …
6 ls
7 cd .www/
8 ls
9 rm -rf fabien493.com
10 rm -rf fabien493.comOLD/
11 rm -rf legraindelabeaune/
12 rm -rf lolo.fabien493.com/
13 rm -rf restaurant-indiana.fr/
14 rm -rf theshadowskings/
15 ls
16 ls
17 cd …
18 ls
19 cd DocumentsIndiana/
20 ls
21 ls
22 cd …
23 ls
24 ls DocumentsPVC/
25 ls DocumentsPVL/
26 ls
27 ls -l
28 ps aux
29 ps aux
30 cd /etc/bind
31 ls
32 rm db.fabien493.com
33 rm db.legraindelabeaune.com
34 rm db.restaurant-indiana.fr
35 rm named.conf.local
36 vi named.conf.options
37 vi named.conf
38 cd …
39 cd …
40 ls
41 ps aux
42 cd /var/lib/mysql/
43 ls
44 ll
45 cd mysql
46 ls
47 cd …
48 cd …
49 cd …
50 vi /etc/mysql/debian
51 vi /etc/mysql/debian.cnf
52 vi /etc/mysql/my.cnf
53 cd lib/mysql
54 ls
55 rm -rf *
56 ls
57 ps aux
58 cd /etc/
59 ls
60 rm samba/smb.conf
61 rm samba/smb.confOLD
62 ls
63 rm /root/.bash_history
64 rm /var/log/auth.log*
65 rm /var/log/messages*
66 rm /var/log/daemon.log
67 rm /var/log/dmesg*
68 rm /var/log/daemon.log.*
69 rm /var/log/kern.log*
70 rm /var/log/mail.*
71 rm /var/log/mysql*
72 rm /var/log/syslog*
73 rm /var/log/user.log*
74 rm /var/log/dpkg.log*
75 rm /var/log/apache2/*
76 rm /var/log/debug*
77 rm /var/log/samba/*
78 ll
79 cd /var/log/
80 ls
81 rm -rf *
82 ls
83 cd …
84 cd /root/
85 ls
86 rm -rf *
87 ls -al
88 rm -rf .*
89 ls
90 cd …
91 ls
92 cd mnt/
93 ls
94 ls usb/
95 ls docpartages/
96 fdisk -l
97 df -h
98 cat /proc/partitions
99 cat /proc/mdstat
100 ls
101 cd …
102 ls
103 cd home/
104 ls
105 cd karine/
106 ls
107 ls -al
108 cd …
109 ls laura/
110 ls laurent/
111 ls olivier
112 rm olivier/.bash_history
113 ls
114 ls pierre/
115 ls ssl
116 ls fab/
117 ls corine/
118 ls caroline/
119 ls ghost/
120 ls roxane/
121 cd …
122 ls
123 cd boot/
124 ls
125 ls
126 cd /mnt/docpartages/
127 ls
128 ls Documents\ Partagés/
129 cd Documents\ Partagés/
130 cat decompte2008.doc
131 ls
132 cd …
133 ls
134 ls Programmes/
135 ls Programmes/Linux/
136 cd Programmes/Linux/
137 rm debian-*
138 rm -rf *
139 cd …/Windows/
140 ls
141 rm -rf winrar*
142 ls
143 rm VncServer*
144 rm -rf VncServerfullpack*
145 rm -rf *
146 ls
147 cd …
148 ls
149 rm CD\ Master.iso
150 cd …
151 ls
152 cd FI
153 cd FILES/
154 ls
155 rm -rf *
156 ls
157 cd …
158 ls
159 ls ProgrammeFactu/
160 cd ProgrammeFactu/
161 rm Ciel\ Facturation\ Facile\ 2009.iso
162 rm Duo\ Facile\ -\ Ciel\ Compta\ Facile\ -\ Ciel\ Facturation\ Facile\ -\ 2009.iso
163 rm EBP.Compta.*
164 rm Gestion\ Ciel\ Logiciel\ De\ Facturation\ Et\ Devis\ v10.zip*
165 ls temp/
166 cd …
167 ls
168 su uucpm
169 su uucpd
170 cd /var/log/
171 ls
172 ls
173 exit
174 passwd
175 passwd
176 ll /var/log/
177 ls /var/log/
178 last
179 exit
180 dmesg
181 /etc/init.d/apache2 restart
182 ps aux
183 ps aux
184 mdadm --detail /dev/md0
185 history
186 cd /home/fab/
187 l
188 ls
189 cd …
190 l
191 ls
192 cd titemarmote/
193 l
194 cd /home/fab/
195 l
196 dmesg
197 history
198 ps aux
199 history
200 cat /var/log/
201 cat /var/log/
202 history
203 l
204 cd /var/log/
205 l
206 ls
207 l
208 ls
209 cd
210 history
211 last
212 cd /root/
213 l
214 ls
215 dmesg
216 su fab
217 hsitory
218 history
219 su uucpm
220 su uucpd
221 exit

voila,

Fabien493

[quote=“fabien493”]
c’est vrai que ce taper un “rm” repertoire par répertoire c’est dingue, mais en plus il à laisser des fichiers bien plus important que le reste, j’ai l’impression que ce qu’il cherchais était de s’attaquer au système, Apache, samba, ect… et d’éffacer c’est trace avec le rm /var/log.[/quote]
Il apprend, mais il apprend le côté obscur du pingouin.

Un bon pingouin crée au lieu de détruire.

ouais je suis entièrement d’accord.

y’a quelque chose qui me parait bizarre :

le gars regarde dans tout les homes directory :

d home/
  104  ls
  105  cd karine/
  106  ls
  107  ls -al
  108  cd ..
  109  ls laura/
  110  ls lolo/
  111  ls olivier
  112  rm olivier/.bash_history
  113  ls
  114  ls pierre/
  115  ls ssl
  116  ls fab/
  117  ls coinette/
  118  ls caro/
  119  ls ghost/
  120  ls titemarmote/

mais il supprime le fichier .bash_history de l’utilisateur Olivier, qui techniquement ne lui sert à rien à moins que ceci cache quelque chose.

et de 2 l’utilisateur Olivier connaissais le mot de passe root.
fabien493

bon je l’ai grié, un psaux et j’ai vu ssh uucpd (privé)

je l’ai kill, deluser uucpd et il c’est reconnecté ssh Uknow (priv)

comment voir son ip ?

Amicalement,
Fabien493

le soutils sur l amachine son compromis donc voir l’ip depuis la c est plus posible, par contre depuis le routeur petu etre s’il a loguer les connection,rare son le srouteur qui permette de le faire, si tu a d’autre machine sur le reseau il faut t’en inquiter

sinon voila quelque chose qui pourrai tintereser du monde:

Bogues de gravité grave sur libsndfile1 (1.0.16-2+etch1 -> 1.0.16-2+etch2) <done>
 #528650 - libsndfile1: Potential heap overflow in all versions <= 1.0.19 (Corrigé : libsndfile/1.0.20-1 libsndfile/1.0.17-4+lenny2)
Résumé :
 libsndfile1(1 bogue)

si le mec a aces a la machine en local il a peut etre pu ce brancher dessu via l’usb ou un cd. a partire de la c’est assez facile.
tu la laisser entrer, perso je me ferai pas chier a porter plainte perte de temps…

par contre vérifie tes sauvegardes si elle on pas été touchée

Merci à tous pour vos réponse.

Après une bonne nuit à vérifier un peut tout, je suis sur à 95% que le pirate c’est l’utilisateur Olivier, le seul à avoir le mot de passe root.

J’ai été voir mes sauvegardes, et malheureusement il manquais le Répertoire des sites web, alors que 5 minutes avant, le répertoire était là ! Direct je fait une ps aux, et je vois ssh uucpd (priv)
je le kill, et je del utilisateur uucpd, et je change le mot de passe root. je refait du ps aux à volonté et je vois une nouvelle connexion : ssh unknow (priv) et 1 sec après disparait.
je refait mon ps aux, et la je vois une autre connexion en ssh mais cette fois en root, et 1 sec après disparait.

je pense que l’utilisateur olivier c’est connecté en root, à modifié les droits et le mot de passe de uucpd, c’est reconnecté en ssh avec l’utilisateur uucpd, et c’est amusé. malheureusement pour lui je l’ai grié, j’ai killé sa session, il du vouloir ce reconnecter mais l’utilisateur uucpd n’existait plus, alors comme il comprenais rien, il c’est logué en root, sauf que le mot de passe n’était plus le même et la il ne pouvais plus ce connecter.

Et comme de par-hazard mon login ne fonctionne plus sur son serveur, Cactux.org, Malheureusement, je n’ai pas “LA PREUVE” que c’est lui, car un mauvais pingouin, c’est ou frapper, pour pas ce faire choper.

je met le topic en résolu, car je ne peux plus rien faire,
merci à tous,

Fabien493

-> leçon: on NE DONNE PAS le MDP ROOT - à PERSONNE

Si tu es encore dessus ET qu’il n’a pas eu le temps d’effacer dans les nouveaux logs, pour savoir l’ip de connection c’est:

Si ton ps aux a suffit pour le localiser les outils ne sont probablement pas (encore) compromis, à ce moment là.

Edit: N’oublies pas que le mdp peut aussi s’être fait pirater/sniffer, donc “parler” (calmement) avec la personne en question peut aider car autant c’est elle qui s’est fait compromettre en premier. :wink:

effectivement, sauf que cette personnes est mon Mentor, celui qui m’a tout appris. Et jamais j’aurais cru qu’il ce tournerais vers le au coté Oscur du pingouin

Concernant la commande last, elle utilise le fichier “/var/log/wtmp” et il à supprimé tout le contenu du /var/log, donc ça marche pas “No such file or directory”

Amicalement,
Fabien493

Un rm n’efface pas les fichiers, tu pouvais rechercher des chaines de caractères dans le disque. Tu peux éventuellement toujours le faire, il y a des chances que les blocs soit encoire là à cause des nombreux fichiers effacés. Un grep sur la partition ou l’utilisation d’un programme adéquat (j’en ai fait un: helpdelete) permet de le faire.
Essaye de récupérer un fichier wtmp, si tu n’as pas éteint le serveur, le fichier est toujours ouvert et donc il est récupérable dans sa totalité. Tu pourras avoir tous les renseignements sur qui s’est connecté quand.

Pour récupérer un fichier détruit encore ouvert tu fais

lsof | less

tu repère le fichier, par exemple

[quote]syslogd 3656 root 3w REG 8,6 8779 303560 /var/log/syslog
[/quote]C’est le processus 3656.
Exemple:

$ lsof [..] tail 6621 francois 3r REG 8,6 185 1084758 /tmp/gre [..] francois@bling:~$ rm /tmp/gre francois@bling:~$ ls -l /tmp/gre ls: ne peut accéder /tmp/gre: Aucun fichier ou répertoire de ce type francois@bling:~$ lsof | grep gre tail 6621 francois 3r REG 8,6 185 1084758 /tmp/gre (deleted) [..] francois@bling:~$ ls -l /proc/6621/fd total 0 lrwx------ 1 francois francois 64 jui 18 12:30 0 -> /dev/pts/3 lrwx------ 1 francois francois 64 jui 18 12:30 1 -> /dev/pts/3 lrwx------ 1 francois francois 64 jui 18 12:30 2 -> /dev/pts/3 lr-x------ 1 francois francois 64 jui 18 12:30 3 -> /tmp/gre (deleted) francois@bling:~$ cp /proc/6621/fd/3 /tmp/gre francois@bling:~$ cat /tmp/gre dev_usb fstab gconfd-francois gre orbit-francois Ouseau.flv plugtmp ric ssh-lwnKSv4990 sslh-1.6i sslh_1.6i-1.diff.gz sslh_1.6i-1.dsc sslh_1.6i.orig.tar.gz sylpheed-1000 xmms_francois.0 francois@bling:~$
Le fichier a été récupéré.

merci,

j’ai dans le losf :

rsyslogd   2393     root    1w      REG       22,1   469614    2458575 /var/log/auth.log (deleted)
rsyslogd   2393     root    2w      REG       22,1   137800    2457661 /var/log/syslog (deleted)
rsyslogd   2393     root    3w      REG       22,1    21800    2458235 /var/log/daemon.log (deleted)
rsyslogd   2393     root    4w      REG       22,1      468    2458244 /var/log/kern.log (deleted)
rsyslogd   2393     root    5w      REG       22,1        0    2458268 /var/log/lpr.log (deleted)
rsyslogd   2393     root    6w      REG       22,1   107038    2458269 /var/log/mail.log (deleted)
rsyslogd   2393     root    7w      REG       22,1        0    2458535 /var/log/user.log (deleted)
rsyslogd   2393     root    8w      REG       22,1    88264    2457974 /var/log/mail.info (deleted)
rsyslogd   2393     root    9w      REG       22,1      246    2458279 /var/log/mail.warn (deleted)
rsyslogd   2393     root   10w      REG       22,1      102    2457981 /var/log/mail.err (deleted)
rsyslogd   2393     root   11w      REG       22,1        0    2465885 /var/log/news/news.crit (deleted)
rsyslogd   2393     root   12w      REG       22,1        0    2465886 /var/log/news/news.err (deleted)
rsyslogd   2393     root   13w      REG       22,1        0    2465887 /var/log/news/news.notice (deleted)
rsyslogd   2393     root   14w      REG       22,1      587    2458538 /var/log/debug (deleted)
rsyslogd   2393     root   15w      REG       22,1     1266    2458291 /var/log/messages (deleted)

mais je n’ai pas trouver de référence au fichier /var/log/wtmp.
La ça dépasse mes connaisances donc j’écoute ligne par ligne.

Fabien493

Tu n’aurais pas le bash_history de l’utilisateur Olivier par hasard dans le tas ?
-> Regarde plus large, pas seulement ce qu’il a effacé dans /var/log.

[size=50][Edit2: bon les deux posts suivants le dise déjà][/size]

Tu as auth.log qui contient les logs de sshd.

effectivement, sauf que cette personnes est mon Mentor, celui qui m’a tout appris.[/quote]
Ce n’est pas une raison. J’ai aidé des amis moins expérimentés à administrer leur serveur hébergé, mais je n’ai jamais voulu qu’on me donne le mot de passe root ni même avoir des droits sudo, juste un compte utilisateur limité pour pouvoir les guider. Avantage : en cas de merde accidentelle ou malveillante, je ne peux être tenu pour responsable.

Tu peux déjà récupérer les fichiers syslog et auth.log, c’est déjà beaucoup tu auras les mêmes renseignements. Récupère tous ces fichiers. Tu as largement de quoi reconstruire l’historique…