rapport d'intrusion
Ainsi que vous l'aurez constaté (peut-être) ce site, avec quelques autres hébergés sur la même machine, a été inaccessible pendant un certain temps. C'est parce que j'ai trouvé un pirate en train de se promener dedans. Oh, ce n'était pas grand chose, mais j'ai préféré tout couper le temps d'évaluer les dégâts, et une fois que ça a été fait, par sûreté, j'ai réinstallé la machine.
Pour être plus précis, j'ai découvert lundi en milieu de journée un comportement étrange du serveur dont l'origine a été vite évidente : le disque dur était plein. Une petite recherche m'apprend que le serveur web a créé un fichier temporaire de plusieurs dizaines de Go, oups. Effaçage, scrutation : Ah tiens, voilà un bot IRC, ma machine a été changée en zombie. Je vire le truc, j'arrête le serveur web et je vais fouiller les logs, histoire de trouver comment il est entré, pour très vite trouver un roumain qui s'est acharné sur un script qui traînait dans un répertoire où n'auraient du se trouver que des images. Tiens ?
Je regarde le script d'un peu plus près : merdalors, c'est une porte d'entrée vers le système, comment est-ce que cette cochonnerie est arrivée là ? Ce serveur est un gruyère ou quoi ? Non pas, je comprends bien vite ce qui s'est passé : lorsque j'ai emménagé sur ce serveur, il y a des mois de ça, j'ai réinstallé ici tous mes sites, sauf MaRDyCk.org[1] qui n'était pas prioritaire et supportait très bien la disponibilité aléatoire qui était celle du serveur précédent, que je ne gérais pas et qui d'ailleurs n'était géré par personne, c'est pour ça que.
Et puis à force de n'être pas géré, il y a quelques semaines, il a pratiquement rendu l'âme. J'ai donc mis en ligne sur mon serveur une copie du site que j'avais rapatrié juste avant la catastrophe, copie complète, y-compris (vous avez deviné) le script d'intrusion qui du haut des quelques années que le vieux serveur a passé sans mise à jour de sécurité a du être facile à déposer là-bas. Et vlan, c'est pour ma pomme.
Du coup, j'ai tout réinstallé. Contrairement à ce qu'on pourrait croire vu de l'extérieur, ça a été assez rapide, sauf que :
- je n'y ai bossé que dans la soirée (j'ai d'autres tâches pendant mes horaires de boulot.)
- Le premier soir, je n'ai fait que des sauvegardes.
- J'ai perdu un temps fou à réinstaller plusieurs fois de suite un système de base qui se bloquait au premier redémarrage, visiblement, chez Dedibox, il vaut mieux garder leurs options par défaut lors de l'installation. Du coup :
- Le deuxième soir, j'ai rétabli toute la mécanique, mais je n'ai pas eu le temps de m'occuper du serveur web.
Voilà. Ça aurait pu du coup être rétabli en une demie journée, mais comme il y a une vie en dehors, ça a traîné un peu[2]. Ça n'est pas bien grave.
Et même si ça me fait mal de dire ça en public, un grand merci à Pep de m'avoir laissé encombrer ses disques avec mes sauvegardes plus que conséquentes.
Publié le 18/10/07, dans la rubrique nateurs et découvertes.
(lire d'autres billets sur : xave.org )
Commentaires
1. Par LeChieur, le 18/10/2007 à 19:53
2. Par lili violette, le 19/10/2007 à 17:05
3. Par KA, le 19/10/2007 à 17:53