# [piratage] je me fait pirater mais je trouve ... (résolu)

## alpha_one_x86

Bonjour, désoler d'encore vous déranger, mais la c'est critique, mon site ce fait pirater et je trouve pas la faille.

Voici un partie de mas logs:

Code : 

```
toc ~ # cat /var/log/apache2/access_log | grep owned

82.254.230.36 - - [16/Jan/2007:06:01:49 +0100] "GET /owned.txt HTTP/1.1" 200 8

213.169.177.188 - - [16/Jan/2007:06:02:02 +0100] "GET /owned.txt HTTP/1.1" 200 8

86.214.110.199 - - [16/Jan/2007:06:02:02 +0100] "GET /owned.txt HTTP/1.1" 200 8

83.219.110.175 - - [16/Jan/2007:06:02:13 +0100] "GET /owned.txt HTTP/1.1" 200 8

83.219.110.175 - - [16/Jan/2007:06:02:21 +0100] "GET /owned.png HTTP/1.1" 404 93

81.48.17.52 - - [16/Jan/2007:06:06:04 +0100] "GET /owned.txt HTTP/1.1" 200 8

82.127.218.182 - - [16/Jan/2007:06:06:08 +0100] "GET /owned.txt HTTP/1.1" 200 8

85.1.250.91 - - [16/Jan/2007:06:10:36 +0100] "GET /owned.txt HTTP/1.1" 200 8

83.219.110.175 - - [16/Jan/2007:06:32:19 +0100] "GET /owned.txt HTTP/1.1" 304 -

82.228.161.185 - - [16/Jan/2007:06:37:31 +0100] "GET /owned.txt HTTP/1.1" 200 8

83.204.89.38 - - [16/Jan/2007:16:11:45 +0100] "GET /owned.txt HTTP/1.1" 304 -

83.204.89.38 - - [16/Jan/2007:16:13:55 +0100] "GET /owned.txt HTTP/1.1" 304 -

66.249.65.4 - - [16/Jan/2007:18:24:42 +0100] "GET /admin/ftp/owned.txt HTTP/1.1" 302 -
```

Voici le fichier en cause:

owned.txt

Je vois vraiment pas comment il on pu le creer, je cherche pres d'un faille de la gestion de leur ftp car il y on acces en écriture. Quand on est logger voir: http://first-world.no-ip.info/user/

Mon site:

http://first-world.no-ip.info/

Merci de votre aide.Last edited by alpha_one_x86 on Tue Jan 16, 2007 2:57 pm; edited 1 time in total

----------

## OuinPis

la faille est simple a trouver : entre le clavier et la chaise  :Very Happy: 

----------

## GaMeS

Je crois savoir que kernelsensei t'as PM hier non ?

Tu pourrais au moin ne pas faire un chmod 777 sur /var/www ...

----------

## -KuRGaN-

Lol, j'adore le "Ce site est directement héberger sur mon PC" !!!   :Laughing: 

----------

## kernelsensei

Cher alpha_one_x86, si tu repensais au message privé que je t'ai envoyé...

Oui, linux ça peut être plus sécurisé qu'un windows.... quand on sait l'administrer ! Si tu fais des bêtises, comme par exemple donner des droits d'écriture là où il ne faut pas, c'est malheureusement ta faute...

----------

## alpha_one_x86

J'ai deja fait un 700, et j'avais aussi des problemes de piratage. Mais j'aimerai bien savoir par ou le pirate est passer, peu etre mes ftp car il sont en travaux, par ssh car j'avais pas encore eu le temp de mettre un filtre sur les utilisateur ssh. Mais je penche pour une faille sur mes script php, je vais voir mes pm...

C'est pas une faille de mon script c'est une faille ssh car on as changer le pass d'un de mes utilisateur   :Confused:   Et le piratage continu...

----------

## OuinPis

ferme ssh le temps de corriger tout ca  :Wink: 

----------

## kwenspc

 *alpha_one_x86 wrote:*   

> 
> 
> (...)
> 
> Et le piratage continu...

 

ben déconnectes ton serveur... marrant toi  :Laughing:  dans ces cas là c'est une mise en quarantaine direct de son serveur à soit qui tourne chez soit de chez soit  :Razz: 

----------

## OuinPis

 *kwenspc wrote:*   

>  *alpha_one_x86 wrote:*   
> 
> (...)
> 
> Et le piratage continu... 
> ...

 

++++++++++1

Mais comme il n'ecoute pas vraiment ce qu'on lui dit......

----------

## alpha_one_x86

J'ai besoin de ssh pour le modifier mon serveur. Je suis obliger de mettre mon site en en 777 car (je sais pas métriser mon ftp) mon ftp l'up en utilisateur: www group: www, et donc apche ne peu pas lancer mes script php.

----------

## kwenspc

 *alpha_one_x86 wrote:*   

> (...)
> 
> Je suis obliger de mettre mon site en en 777 car (je sais pas métriser mon ftp) mon ftp l'up en utilisateur: www group: www, et donc apche ne peu pas lancer mes script php.

 

Qui t'obliges à faire ça? tu comprends pas ce que tu fais c'est tout. 

Le user et le group ça peut se changer: commandes chown et chgrp 

Tu tires trop vite des conclusions foireuses et tu reconnais pas tes erreurs. Comprends ce que tu fais avant de faire quoique ce soit. Sinon c'est pas la peine.

----------

## alpha_one_x86

Je sais que je tire des conclusion foireur (on a defois du mal a admettre ces erreur). Mais la un simple chown ne marche pas si non j'aurai mit: rwxrwxr-- avec user: www et group: apache. Mais quand j'envoye un fichier (qui n'eexiste pas) il est creer avec des droits foireux, dans le meillieur des cas: -rw------- sous www.www

----------

## kwenspc

cqfd.

Bon faut VRAIMENT que tu lises des tutoriaux, de la doc et que tu apprennes, fasses des exercices et comprennes ce que tu fais.

Au pif (google: cours linux)  :Arrow:  http://www.ac-creteil.fr/reseaux/systemes/linux/

Très bon site (pour le peu que j'en ai lu). 

Sinon on va finir par devenir comme ceux de debian à dire RTFM à tout va là...(et ça serait justifié)

----------

## blasserre

dites-moi les amis, j'ai dans l'idée depuis un certain temps de créer un topic sur la sécu, j'ai conscience du fait que chez moi, comme chez tout le monde  :Razz:  , la faille se situe entre la chaise et le clavier, mais je ne trouve pas de doc de référence répondant à ces questions diverses :

- gestion des webapps

- choix su/sudo pour différentes taches

- création d'un semi-root pour la gestion courante (emerge toussa)

ça vous botte d'échanger ou je n'ai tout simplement pas bien cherché et je mérite une fessée ?

note aux modos : je voulais aussi demander si ce genre de questions n'auraient pas leur place dans le DO{W|M|Y} courant

----------

## kwenspc

Un DOW serait en effet une bonne idée. Je pense qu'on a tous à y gagner de ce genre de discussion  :Smile: 

----------

## OuinPis

 *alpha_one_x86 wrote:*   

> J'ai besoin de ssh pour le modifier mon serveur. Je suis obliger de mettre mon site en en 777 car (je sais pas métriser mon ftp) mon ftp l'up en utilisateur: www group: www, et donc apche ne peu pas lancer mes script php.

 

Si ton serveur est chez toi tu peux brancher ton clavier et ton écran dessus sans trop de difficulté, tu pourrais aussi te fabriquer un switch pour clavier/écran (y'a aussi la possibilité d'en acheter).

En suite si tu prend la décision de laisser plein de portes ouvertes sur ton serveur et que tu le met en ligne en donnant son adresse sur tous les forums ou tu vas, et qu'après ça tu t'aperçoit d'une intrusion et que la encore tu le laisse connecté. Ben j'ai qu'une chose a dire : tant pis pour toi !

----------

## alpha_one_x86

C'est une boone idee pour l'ecran mais je l'ai viser dans le mur et le serveur est visser dans un meuble. J'ai tout réactiver en vérifiant que tout les utilisateur on bien des mot de passe. J'ai vérifier mes failles, samba bien configurer en anonyme mais avec un filtre ip, l2j avec des pass. J'ai plus que 2 logiciel que je connait pas trop bien ssh et vsftpd. Et encore mais faille dans mes scripts php, je suis présque sur qu'il y en a mais rare sont ceux qui les trouve, vous pouver toujours essayer:

http://first-world.no-ip.info/ftp/

mais:

<?php

$pass_mysql='dsf778z2++sdf-sdf+-';

$login_mysql='root';

$host_mysql='localhost';

$db_mysql='first-world';

?>

c'est pas mes vrai pass.

Au cas ou j'ai chrooter samba, car j'avais fait un chmod 777 sur le dossier partager de samba, la je l'ai chrooter et j'ai creer les groups et le utilisateur et j'ai mit comme masque: 700 qu'en dite vous?

----------

## Scullder

 *alpha_one_x86 wrote:*   

> Bonjour, désoler d'encore vous déranger, mais la c'est critique, mon site ce fait pirater et je trouve pas la faille.
> 
> Voici un partie de mas logs:
> 
> Code : 
> ...

 

Qui ? Pourquoi ?

Alors je vais te dire simplement d'où ça vient, tu passes un nom de fichier dans l'url finissant par .txt (tu vérifies juste l'extension), ça se voit facilement.

Donc ils ont ceryainement bidouillé par là.

Sinon le php, quand on est pas au courant au niveau sécurité (vérification de toutes les entrées sans oublier les cookies, attaques xss, utilisation d'expreg, etc), c'est _très_ dangereux  :Smile:  (et très facile à "pirater" d'ailleurs)

----------

## Scullder

Et pour tes chmod, tu met le strict minimum (laisses même pas l'écriture pour owner si pas besoin), et utilises correctement les groupes.

----------

## OuinPis

Ce que je ne trouve pas très sécuritaire du tout c'est qu'on puisse lire le code source de ton site. Donc a partir de la : http://first-world.no-ip.info/ftp/ il est très simple de pouvoir aller la : http://first-world.no-ip.info/ftp/sub/php et daller y lire le contenu du fichier passwrd.php ici http://first-world.no-ip.info/ftp/sub/php/passwrd.php le résultat est la : 

<?php

$pass_mysql='dsf778z2++sdf-sdf+-';

$login_mysql='root';

$host_mysql='localhost';

$db_mysql='first-world';

?>

Donc cette visibilité de ton code source nest pas un choix très judicieux et jaurais tendance a dire comme Scullder, quand on ne sait pas ce quon fait, on ne le fait pas  :Wink: 

----------

## nico_calais

 *OuinPis wrote:*   

> Ce que je ne trouve pas très sécuritaire du tout c'est qu'on puisse lire le code source de ton site. Donc a partir de la : http://first-world.no-ip.info/ftp/ il est très simple de pouvoir aller la : http://first-world.no-ip.info/ftp/sub/php et daller y lire le contenu du fichier passwrd.php ici http://first-world.no-ip.info/ftp/sub/php/passwrd.php le résultat est la : 
> 
> <?php
> 
> $pass_mysql='dsf778z2++sdf-sdf+-';
> ...

 

Hé ben là, ça me tue   :Shocked:  (etant non specialiste php).

----------

## alpha_one_x86

Je le répete ce n'est pas mon pass: dsf778z2++sdf-sdf+-

Je fait mon site en open source, et ca vous ne m'en empêcherai pas   :Twisted Evil: 

Scullder tu a une remarque trés judicieuse, bien que je peu pas l'appliquer car j'ai des problème avec mon ftp...

 *Quote:*   

> Sinon le php, quand on est pas au courant au niveau sécurité (vérification de toutes les entrées sans oublier les cookies, attaques xss, utilisation d'expreg, etc), c'est _très_ dangereux  (et très facile à "pirater" d'ailleurs)

 

Oui je sais, et j'ai meme des failles connu que j'ai pas encore eu le temps de boucher. Si non je pense avoir correctement chrooter les utilisateur dans leur répertoire avec mon script php, mais je dit peu etre des connerie donc je vais vérifier....

EDIT: le seul pass que vous pouvais avoir acces c'est mon pass telent de l2j qui n'est accessible que sur le local host par filtre ip et avec le port non overt ni dans mon firewall ni dans ma box.

----------

## kwenspc

 *alpha_one_x86 wrote:*   

> Je le répete ce n'est pas mon pass: dsf778z2++sdf-sdf+-
> 
> (...)

 

Nan mais arretes: ceci est sans doute le hash de ton password mysql. Donc avec un peu de brut-force...ça doit se retrouver.

Enfin lis pas ce que j'ai marqué: tu dois pas savoir ce qu'est un hash ni le brut-force.  :Razz: 

Bon ok promis j'arrete de me moquer...

----------

## anigel

 *alpha_one_x86 wrote:*   

> Bonjour, désoler d'encore vous déranger, mais la c'est critique, mon site ce fait pirater et je trouve pas la faille.

 

 *alpha_one_x86 wrote:*   

> Oui je sais, et j'ai meme des failles connu que j'ai pas encore eu le temps de boucher.

 

Je ne vois rien de plus à ajouter, ton problème me semble (résolu) ?

----------

## lesourbe

si t'as du code qu'a été exécuté, va falloir débrancher, live-CDer puis formater.

sinon DMZ, snort et export des logs auraient pu t etre utiles

----------

## OuinPis

 *alpha_one_x86 wrote:*   

> Je le répete ce n'est pas mon pass: dsf778z2++sdf-sdf+-
> 
> Je fait mon site en open source, et ca vous ne m'en empêcherai pas  
> 
> 

 

...

salut !

----------

## alpha_one_x86

 *kwenspc wrote:*   

>  *alpha_one_x86 wrote:*   Je le répete ce n'est pas mon pass: dsf778z2++sdf-sdf+-
> 
> (...) 
> 
> Nan mais arretes: ceci est sans doute le hash de ton password mysql. Donc avec un peu de brut-force...ça doit se retrouver.
> ...

 

Je suis justement entrain de mettre mes pass sous brut force avec jtr pouyr vérifier lmeur validiter, et ce çi n'est le hash de rien du tout, j'aurai pu mettre toto, c'est un mot de pass de remplcament qui est remplacer juste avant l'affichage de la page...

Et je souhaite laisser les sources de mon site vissible a tout le monde. C'est justement l'une des particulariter de mon site.

Je vais plus tarder de mettre en résolut, bien qu'il y a toujour des failles de sécuriter flagrate chmod 777 sur mon /var/www, ssh mal configurer... mais j'"aimerai bien savoir si il doit chercher d'autre faille ou il y a que ces 2 la.

----------

## anigel

 *blasserre wrote:*   

> note aux modos : je voulais aussi demander si ce genre de questions n'auraient pas leur place dans le DO{W|M|Y} courant

 

<OFF> Dans le débat actuel, non, clairement pas. Mais dans un prochain débat, pourquoi pas. On s'interroge depuis quelques temps sur ces sujets, vous le savez, mais rien de vous empêche d'aller à la pêche aux infos si nécessaires. Il nous est déjà arrivé par le passé de stickyser des posts intéressants... Bien entendu, inutile d'y aller chacun de son débat perso, sinon, bordellum est, e modo sevira  :Laughing:  </OFF>

----------

## alpha_one_x86

Comme je l'ai dit je vois que 3 faille possible:

- mon ftp

- mon ssh

- mes script php

( - moi )

Les scripts php je sais trouver les failles et les boucher, mais pour le ssh je pense trouver, et pour le ftp (vsftpd ou proftpd) je m'en sort pas.

----------

## anigel

 *alpha_one_x86 wrote:*   

> Les scripts php je sais trouver les failles et les boucher, mais pour le ssh je pense trouver, et pour le ftp (vsftpd ou proftpd) je m'en sort pas.

 

Sincèrement, il faut que tu arrête les frais. Je te dis ça en toute gentillesse, et sans sarcasme : tu ne peux arriver à rien de bon en te jetant partout en même temps. Si tu ne sais pas sécuriser un serveur ftp, ne t'en sers pas ! Est-ce que tu prendrais les commandes d'un A380 sans savoir le conduire ? Non, pour ta sécurité ça ne serait clairement pas une bonne option. Pour ton système c'est pareil : si tu ne maîtrise pas, ne touche pas.

----------

## alpha_one_x86

Merci pour votre aide, je me concentre sur mon ftp pour l'instant vu que j'ai sécuriser mon serveur (+ ou -).

----------

## kwenspc

nan mais un serveur ayant été pirater est un serveur à formater. (vive les backdoors)

----------

## alpha_one_x86

je le fait des que je sais configurer mon ftp, et en + j'avais prevus de le faire et de changer tout les pass.

----------

## davidou2a

Le plus simple est de ne pas heberger de serveur apache chez soi quand on a un peu de mal avec l'administration systeme de base (comme l'a souligné KernelSensei)

Personellement je sais que je suis pas tip top sur ce point donc j'heberge pas chez moi, ce qui ne m'empeche pas d'avoir une distribution de lampp qui tourne quand je bosse en local, mais leur acces est restreint a localhost...

Bref les cours de l'accademie de Creteil sont tres bon pour le Ba-Ba dans ce domaine, mais avant d'heberger chez soi y a des questions a se poser, estque j'ai avant tout un debit correct?, est ce que je m'en sens capable de gerer ça?, devrais-je me renseigner avant?, ai-je des solutions de sécurité adequates? pourquoi j'hebergerai chez moi plutot que chez un hebergeur? cela risque t il de compromettre la securité de mon reseau LAN si j'en ai un et de mes informations privées?

Je jette pas la pierre j'expose juste comment je vois la chose  :Smile:  on fais tous des erreurs moi le 1er  :Smile: 

Ce que j'espere juste pour toi c'est que le "pirate" n'a pas reussi a ouvrir une backdoor ou installer un rootkit chez toi, sinon ce serait la securité du reseau complet qui pourrait etre compromise.

Et comme dit plus haut une machine suspécté d etre hackée on la debranche et on l'isole dessuite sans attendre, et on check les logs reseau des machines environnentes voila  :Smile: 

Sinon j'espere que ton petit souçis s arrangera vite  :Smile: 

----------

## alpha_one_x86

J'ai regarde avec ethereal, et je sais qui m'a pirater et ce qu'il a fait, il a mit juste le fichier pour me prévenir.

Je ne peu pas faire autrement que de l'hberer chez moi car il me faut a moin 200go un serveur dédier, meme si j'ai une bande passant médiocre j'ai pas le choix.

----------

## davidou2a

200Go !!! Mais t'heberges quoi qui pese tant? faut un site de la classe de Deviant Art pour demander tant   :Shocked: 

----------

## OuinPis

d'après ce que j'ai vu sur d'autres forum ce n'est pas la première fois que tu te fais pirater comme tu dis. 

Tu ferrais peut être bien de suivre les conseils que te donnes tous ces gens et surtout un conseil en particulier qui reviens très souvent celui de ne pas laisser a la disposition de tout le monde tes sources PHP, parce que ca permet par exemple d'en savoir beacoup sur la facon dont tu a faconé ta base de donnée (nom des tables et des colonnes par exemple) ainsi que ta facon de structurer ton code.

Il n'y a pas un seul moment ou j'ai vu quelqu'un te dire "c'est cool qu'on voit tout ton code PHP  :Smile: " (a part le mec qui te pirate qui doit fortement le penser), alors pourquoi t'acharne tu ??? Sécurise ton site et après tu ferra ce que tu voudra.

----------

## alpha_one_x86

50% d'iso linux.Apres c'est mon dossier de travail. Avec mes 3x320Go et mon 250Go il sont plein a 80%.

----------

## Tuxicomane

T'as 100 iso de distrib' ?!   :Shocked: 

----------

## alpha_one_x86

J'en ai + de 50 c'est sur.

----------

## OuinPis

et combien de Divx ?

----------

## davidou2a

http://first-world.no-ip.info/ftp/

Laisser ton code php visible comme dit plus haut c'est pas malin, ça permet en partie de faire du reverse engeneering de ta base de données (en supposant que tu l'ai faite correctement) et donc c'est une porte ouverte aux injections SQL, au cassage de hash de ton pass et j'en passe, open-source ok mais faut pas etre STUPIDE non plus... y'a des choses qui ne se montrent pas... et je peux te dire qu'a mon avis tu risques bien pire que des problemes sur ton site, si par malheur t as mis des suidbit sur ta machine y en a qui vont se regaler a mon humble avis..

Tu devrais repenser completement ton projet... 

Si tu n'est ni admin reseau ni developpeur de metier, tu devrais demander conseil et ecouter les personnes de ce millieu, ça evite de barbotter dans le vague et d avoir des surprises apres...

----------

## alpha_one_x86

J'ai pris mes protection contre les pass, tu ne voit aucun vrai hash, tu les pass sont remplacer par des faux. Pour les injertion mtsql j'ai fait du mieux que j'ai pu.

C'est donc impossible de brute force les hash.

----------

## anigel

Lock.

----------

