On Tue, Oct 1, 2024 at 7:31 PM Laurent Barme 2551@barme.fr wrote:
Le 01/10/2024 à 16:29, Franck Routier via FRsAG a écrit :
Le mardi 1 octobre 2024, 15:27:30 CEST Kevin Labécot a écrit :
Je ne connais pas ce mode « hack » d’OVH ni si il y a des précisions mais qui dit que ce n’est pas le serveur hôte qui est hacké ?
l'intuition et l'espoir... En fait j'ai arrêté tous les containers et le problème ne réapparaît pas. Mon suspect principal est un site Spip, ou le reverse proxy nginx qui dispatch les requêtes...
Spip est un suspect crédible, comme tout CMS très populaire en PHP :-/
Spip est une très bonne piste si tu n' avais pas une version à jour. Je m' en suis fait pirater un aussi. Vu que spip a très peu de squelettes disponibles, et qu 'ils ne sont jamais compatibles avec les nouvelles versions qui n' ont plus de failles de sécurité, les propriétaires ont tendance à laisser traîner des vieilles versions vulnérables. Vérifie la version de spip que tu avais, si elle est vulnérable . . . C' est sûrement ton coupable.
Mais en effet, ça pourrait (aurait pu ...:-) ) être le serveur principal...
Quoiqu'il en soit, la seule solution vraiment fiable pour gérer un serveur compromis c'est de tout réinstaller sur un serveur initialement vierge et en n'y important que des données inertes (absolument non exécutables) de tes sauvegardes (tirées depuis l'extérieur comme décrit par Maxime et inaccessibles depuis le serveur sauvegardé).
Il est même possible que ce ne soit pas forcément plus long que de tester les containers un par un.
Quoiqu'il en soit, bon courage !
Si tu pouvais nous en dire plus sur la compromission tel que les symptômes qui ont fait passer ton serveur en mode "hack", la façon dont il aurait été compromis, ou autres, cela pourrait nous aider…
— Kevin
Le 1 oct. 2024 à 14:39, David Ponzone david.ponzone@gmail.com a écrit :
Xav,
Je crois que Franck ne sait pas quel container est fautif…
J’ai envie de dire d’éteindre tous les containers, les allumer un par un, et prendre une trace réseau à chaque fois à la sortie de chaque container pour tenter de détecter du traffic anormal. Je suppose qu’ils sont en privée et que l’hôte les NAT ?
Dav
Le 1 oct. 2024 à 13:27, Xavier Beaudouin via FRsAG <frsag@frsag.org mailto:frsag@frsag.org> a écrit :
Simple :
- Détruire le container
- Installer un container propre.
De: "Franck Routier (perso) via FRsAG" <frsag@frsag.org mailto:frsag@frsag.org> À: "frsag" <frsag@frsag.org mailto:frsag@frsag.org> Envoyé: Mardi 1 Octobre 2024 13:16:03 Objet: [FRsAG] Container hacké, que faire Bonjour,
J'ai un serveur "bare metal" chez OVH, avec une Ubuntu, inclus (ex LXD) et une série de containers. Ce matin mes services étaient hors ligne : le serveur était passé en mode "hack" par OVH. J'ai redémarré le serveur et stoppé tous les containers. D'après vous, comment procéder pour isoler et nettoyer le container fautif ?
Merci
Liste de diffusion du %(real_name)s http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du $real_name http://www.frsag.org/
Liste de diffusion du $realname https://www.frsag.org/
Liste de diffusion du French Sysadmin Group https://www.frsag.org/