logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-09-2019 13:25:38

aquick
Membre
Lieu : Cogolin
Distrib. : debian 8 Jessie
Noyau : linux 3.16.0-4amd64
(G)UI : Gnome + console
Inscription : 30-11-2016

[RÉSOLU] Intrusion serveur web

Bonjour,

j'ai un serveur web dédié chez un fournisseur internet pour mon site.

Il y a deux semaines, je me rend compte que je n'ai plus accès à ispconfig
je me connecte à phpmyadmin et je me rend compte que deux de mes bases de données n'existent plus.

Une autre est créée avec le nom  : PLEASE_READ_ME_VVV

Avec une table warning et le message suivant à l’intérieur : .

"To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address 1756fmLS26s7yNBFeaqfbgXoRcieuA9xox and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. Backups that we have right now: isp, pmblast. Any email without your server IP Address or Domain Name and a Proof of Payment together will be ignored. If we dont receive your payment in the next 10 Days, we will delete your backup."

Je restaure mes sauvegardes et change tous mes mots de passe, je change aussi de ports pour ssh et ispconfig


une semaine plus tard rebelote suppression des bases et réapparition de la nouvelle base de donnée.

apparemment pas de backdoor ni de fichiers compromis (dixit chkrootkit et rkhunter)

auriez vous une idée sur la question ?


Debian 9 (à jour)
- openssh-server
- postfix
- mariadb-client
- mariadb-server
- openssl 
- rkhunter
- binutils
- amavisd-new
- spamassassin
- clamav
- clamav-daemon
- apache2
- php7 + dependances
- php-fpm
- phpmyadmin
- fcgi
- mcrypt
- purftp
- bind9
- fail2ban
- ufw firewall
- ispconfig 3

Dernière modification par aquick (05-09-2019 14:11:52)


l'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai !

Hors ligne

#2 02-09-2019 13:40:30

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [RÉSOLU] Intrusion serveur web

Quand tu es compromis, il faut changer les mots de passe, et le mieux c'est de repartir d'une clean install et recharger les données à partir d'un backup, en espérant que ce backup n'a pas été touché avant par l'attaquant... Enfin, moi je ferai comme ça.
Y a aussi la possibilité que la faille vienne d'un endroit qu'il lui suffit de ré-exploiter (faille dans X logiciel, ou mauvaise configuration...)

Dernière modification par otyugh (02-09-2019 13:41:55)


virtue_signaling.pngpalestine.png

Hors ligne

#3 02-09-2019 13:50:47

aquick
Membre
Lieu : Cogolin
Distrib. : debian 8 Jessie
Noyau : linux 3.16.0-4amd64
(G)UI : Gnome + console
Inscription : 30-11-2016

Re : [RÉSOLU] Intrusion serveur web

Merci pour ta réponse.
j'ai eu la même réflexion que toi en repartant sur du clean.
Cependant j'aurais bien voulu savoir avant, d’où pouvait provenir la faille afin d'éviter l'installation d'un paquet ayant une faiblesse.
Si d'autres personnes ont eu cette malheureuse expérience merci pour vos retour.

Pour info (le backup est clean).

l'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai !

Hors ligne

#4 02-09-2019 13:56:21

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [RÉSOLU] Intrusion serveur web

Pour info (le backup est clean).


Si tu es normalement constitué et que tu ne sais pas comment/quand il est rentré, tu ne sais pas si tu backup est clean. Il est peut-être rentré il y a six mois, posé sa backdoor, et ne l'utilise que maintenant.

C'est un peu le problème avec les intrusions, c'est que c'est dur de regagner confiance après, je trouve... hmm
On peut passer autant de scan qu'on veut, ils ne sont jamais absolu.

...Et les logs sont pas super fiable non plus vu qu'ils ont pu être altérés.

Mais aussi vite c'est juste "pas de bol" et ton site est tombé sous un bête script qui essayait les mot de passe les plus courant ? Ou un faille de ton site du moment pas encore corrigé.  x)

Dernière modification par otyugh (02-09-2019 13:56:41)


virtue_signaling.pngpalestine.png

Hors ligne

#5 05-09-2019 14:10:39

aquick
Membre
Lieu : Cogolin
Distrib. : debian 8 Jessie
Noyau : linux 3.16.0-4amd64
(G)UI : Gnome + console
Inscription : 30-11-2016

Re : [RÉSOLU] Intrusion serveur web

je suis d'accord avec toi, mais mes backup sont de simples exports sql du coup peu de chance qu'ils soient infectés.

Encore merci pour tes conseils

l'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai !

Hors ligne

Pied de page des forums