PHPfrance

la communauté d'entraide francophone dédiée au PHP

Attaques illegalles émanant de serveur

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Attaques illegalles émanant de serveur

par Xenon_54 » 09 avr. 2008, 16:12

Avez-vous regarder la liste des processus?
comment tu verifis ca ? parce que des listes j'en ai vus de toute les couleurs depuis ce problème 8-) , je mange du Nmap - Zenmap - Shhclient - ligne de commande et tout ca en y comprenant rien :cry:
Avec la commande suivante:

Code : Tout sélectionner

ps auxfww

par dogmongo » 09 avr. 2008, 10:18

oui Calimero ca semble fonctionner

root ALL=(ALL) ALL
"/etc/sudoers.tmp" 29L, 608C
root ALL=(ALL) ALL
root ALL=(ALL) ALL
root ALL=(ALL) ALL

par Calimero » 09 avr. 2008, 09:58

Pour info, le fichier de configuration de sudo s'édite avec la commande visudo (en root)

par dogmongo » 09 avr. 2008, 08:54

Avez-vous regarder la liste des processus?
comment tu verifis ca ? parce que des listes j'en ai vus de toute les couleurs depuis ce problème 8-) , je mange du Nmap - Zenmap - Shhclient - ligne de commande et tout ca en y comprenant rien :cry:

par Xenon_54 » 09 avr. 2008, 04:37

Avez-vous regarder la liste des processus?
[09:28:28] ------------------------- Security advisories ------------------------- [09:28:29] Warning: root login possible. Change for your safety the 'PermitRootLogin'
Ceci n'est qu'un avertissemment bidon. 99% des chances que cela ne soit aucunement relié à ton problème.

J'ose dire que vous vous compliquez la vie.
Dans 99% des cas, c'est un simple script perl lancé via une faille PHP et qui scanne le réseau pour des comptes FTP et SSH. Le compte root n'est même pas affecté dans ce cas.

par Nagol » 08 avr. 2008, 15:29

il est possible que le fichier sudoers n'existe pas et qu'il faille le créer à la main (jamais vu ce cas la sur aucun système mais pourquoi pas) tu dois pouvoir trouver facilement des doc qui parlent de ça pour fedora

http://fedorasolved.org/post-install-solutions/sudo

à vue de nez ca a l'air récent et pas trop mal.

par dogmongo » 08 avr. 2008, 15:24

je vais m'arracher les cheveux :?

par Sékiltoyai » 08 avr. 2008, 15:05

Non, ce n'est pas ca. Ca c'est le fichier du manuel…

par dogmongo » 08 avr. 2008, 14:58

bien vu /usr/share/man/man5/sudoers.5.gz 8-)

par Nagol » 08 avr. 2008, 14:38

je crois que je comprends ton résonnement , un peu comme rott phpmyadmin d 'époque ou il etait à root par default,
mais alors pourquoi /etc/sudoers n'éxite pas sur ma machine ?
à priori ça devrait vouloir dire que ce n'est pas installé sur ta distribution, ou que le fichier a été placé ailleurs, pour vérifier que le programme sudo existe ben suffit de taper la commande, s'il existe alors c'est le fichier qui doit être ailleurs, tu peux le trouver à coup de locate (locate sudoers)

par dogmongo » 08 avr. 2008, 14:35

je crois que je comprends ton résonnement , un peu comme rott phpmyadmin d 'époque ou il etait à root par default,
mais alors pourquoi /etc/sudoers n'éxite pas sur ma machine ?

par Sékiltoyai » 08 avr. 2008, 14:17

Nagol a totalement raison. Tout administrateur qui se respecte retire le mot de passe du compte root. C'est le compte sur lequel il faut interdire tout login. Et tout passage sur compte root doit se faire avec précaution, car en cas de mauvaise manipulation il n'y a aucun filet de sécurité…

par Nagol » 08 avr. 2008, 13:49

non, parceque root n'est qu'un utilisateur, c'est justement l'interêt de sudo il te permet d'exécuter des commandes avec un autre utilisateurs mais comme si tu étais root, suffit d'avoir de se créer un coup d'utilisateur à coup de useradd ou de adduser et de le mettre dans le group wheel en group secondaire de faire un tour dans le fichier de config de sudo (/etc/sudoers) et de se connecter en ssh avec cet utilisateur la. En fait typiquement root est un utilisateur avec lequel on ne devrait jamais se logguer :)

par dogmongo » 08 avr. 2008, 12:22

bein c'est incroyable ce que tu me dis , j'ai jamais réussi à me connecter autrement qu'en tant que root à mon serveur, ce qui veux dire que si je retir la possibilité de me connecté en root, je me bloque l'admin du serveur définitivement :shock:

par Nagol » 08 avr. 2008, 12:04

le permitrootlogin est par rapport à ssh, on a coutûme de dire qu'il vaut mieux dans la plupart des cas utiliser un utilisateur non privilégié par défaut et utiliser la commade sudo pour exécuter des applications nécéssitant des privilèges.

exemple:

tu te loggue via ssh sur ton user "user1"

user1# sudo /etc/init.d/apache restart
password:

la tu rentres ton password utilisateur (et non root) et apache se relance, alors que tu n'es pas "devenu" root dans la procédure.

C'est une bonne habitude à prendre que d'administrer son système comme ça, je pense que tu devrais changer ton password root vers un mot de passe plus compliqué (noté au préalable sur un bout de papier chez toi) et désactiver ce permitrootlogin dans ssh, et t'assurer que ton utilisateur fait bien parti du groupe wheel (groupe associé aux droits de root dans /etc/sudoers).