Bonjour,
ce matin ma base de donnée est vide…super…
des malins ont effacer toute ma base…
j’ai vu que j’avais un bot d’installer depuis hier …je viens de le supprimer…
mais je ne trouve pas par quel biais ils ont pu passé…
pouvez vous me donner un coup de main pour comprendre…???
je veux bien restaurer les bases mais j’ai besoin de comprendre avant
Merci d’avance
Déjà, si ton serveur a été compromis il faut le réinstaller, pas juste faire un peu de ménage.
Aprés, tu peux te faire une virtualbox pour tester ta reinstallation, mais si tu veux qu’on puisse t’expliquer (quoi ?) il faut que tu nous donnes des traces (logs) de ce qu’ont fait tes pirates sur ton serveur: sans plus d’infos:
on va avoir du mal à imaginer leur méthode d’intrusion.
1 J'aime
En effet c’est mieux de comprendre par où ils sont passé avant d’investir du temps a restaurer.
Un bon indice aurait été de connaitre le propriétaire/groupe des fichier du bot.
Faire un tour du coté de /tmp (vue qu’il est ouvert en écriture a tous le monde il est facile d’y déposer des scripts a exécuter)
Regarder ce qui tourne exactement sur le serveur.
Regarder tous les fichiers modifier depuis la dernière fois ou tu savait ton serveur sain.
Vue qu’ils ont supprimer ta bdd, regarde les logs de connexion de cette dernière
Mais je suis complètement d’accord avec mattotop, sans connaissance correcte de la sécurité info considère le serveur comme irrémédiablement compromis. Il vaut mieux réinstallé depuis zéro.
1 J'aime
yes je regarde depuis un moment, ils ont effacé pas mal de chose…
Avant de réinstaller, faire une image du disque depuis un système non compromis pour analyse forensique ou remplacer le disque si accès physique.
3 J'aime
Bizarre, il n’est pas si facile d’entrer dans un sytème tiers et ceux qui y arrivent n’effacent pas les données, ils les verrouillent contre une rançon ou se cachent et utilisent le PC pour d’autres activités, spams très souvent.
Par ailleurs supprimer un bot est rarement simple, celui qui sait en faire un, sait aussi comment le faire renaître.
Cela m’est arrivé il y a deux ans environ sur un PC qui s’est toruvé être un “honey pot” par hazard, il m’a fallu plusieurs mois pour isoler le virus et jamais je ne l’ai éradiqué avant de tout repartitionner.
Et donc, comment es-tu certain de l’avoir supprimé?
je en suis sure de rien du tout …
depuis ce matin je regarde ce qui se passe avant de tout relancer…
Théoriquement, il faut refaire une install clean, recopier une à une les configs en vérifiant qu’elles sont propres et telles qu’on les attend, et réinjecter le jeu de données aprés avoir vérifié qu’elles n’ont rien de pourri.
le truc rigolo serait de laisser ton serveur tel quel pour nous laisser y jeter un coup d’oeil et installer ailleurs un tout propre
1 J'aime