hack serveur dédié
10 réponses
| Auteur | Message |
|---|---|
|
thomas33
| 
Inscrit le : 08/05/2007 |
# Le 17/09/2010 à 20:40 Bonsoir, je transmet ce que je viens d'avoir sur mailing d'ovh : Bonjour, SI vous avez un serveur dédié ET il fonctionne sous Linux ET il est en 64 bits ALORS votre serveur est hackable !!! Il est IMPÉRATIF de le mettre à jour !! N'attendez pas !!! L'exploit qui permet d'obtenir le root est publiquement disponible. Quoi faire ? ------------ Il faut mettre à jour le kernel de votre serveur. Comment ? --------- - si vous êtes en "sécurité totale": vous avez reçu un email de planification du reboot du serveur, vous n'avez rien à faire - si vous êtes en "netboot"/RPS/Cloud: il suffit de rebooter votre serveur. - si vous êtes en "kernel manuel": vous avez les nouveaux noyaux sur ftp://ftp.ovh.net/made-in-ovh/bzImage/  c'est le bzImage-2.6.34.6-xxxx - si vous compilez: les sources sur kernel.org sont vulnérables. Il faut patcher. Seulement 2.6.36-RC4 est patché. (A confirmer, nous on a vérifié rapidement). Après la mise en place du noyau vous devez voir ceci: # uname -a Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17 ^^^^^^^^ Il faut bien voir 2.6.34.6. PS. Désormais il a plus qu'un seul noyau (IPv4 + IPv6) nommé bzImage-xxxx-ipv6-xxxx Détail: ------- Une faille de sécurité (CVE-2010-3301) permettant d'obtenir localement les privilèges root vient d'être (re)découverte au niveau de l'émulation 32bit sur les systèmes 64bit. Tous les noyaux 64bit depuis le 2.6.27 sont vulnérables. Pour l'histoire, la faille avait été fixée en 2007 dans le 2.6.22.7 (CVE-2007-4573), mais une régression est apparue en 2008. [explications et exploit: http://sota.gen.nz/compat2/] Amicalement Octave |
|
Salemioche
| Nicolas 
Inscrit le : 26/12/2008 |
# Le 17/09/2010 à 20:57 faut quand meme deja etre sur la machine pour pouvoir en profiter... |
|
Rano
| Jean 
Inscrit le : 13/04/2005 |
# Le 17/09/2010 à 22:23 Bon ba y a plus qu'a ! |
|
cerise
| Gaël 
Inscrit le : 31/10/2008 |
# Le 17/09/2010 à 22:34 en même temps, je comprends pas : tous les noyaux sont concernés ? Même le 2.6.34.5 ? |
|
Bool
| Olivier 
Inscrit le : 09/05/2005 |
# Le 18/09/2010 à 00:41 Yep, faut être sur le serveur (mais c'est déjà un peu le cas à la moindre faille dans le site, ou dans PMA), et faut avoir compilé son kernel avec l'émulation 64bits. Ca limite un peu, mais pas tant que ça. |
|
Rano
| Jean
Inscrit le : 13/04/2005 |
# Le 19/09/2010 à 21:58 La 2.6.34.7 est donc à jour là non ? |
|
Bool
| Olivier
Inscrit le : 09/05/2005 |
# Le 21/09/2010 à 16:36 La 2.6.32.22 l'est. Je ne sais pas pour les autres. |
|
thomas33
| Thomas
Inscrit le : 08/05/2007 |
# Le 21/09/2010 à 16:49 2.6.34.7 l'est aussi |
|
Rano
| Jean
Inscrit le : 13/04/2005 |
# Le 21/09/2010 à 17:35 La 2.6.35.5 date d'hier, je suppose qu'elle est bonne aussi |
|
caaptusss
| Jérémy 
Inscrit le : 25/09/2007 |
# Le 27/10/2010 à 21:51 Bonjour, Bonjour, Un hacker a listé tous les serveurs dédiés chez Ovh (et pas seulement) avec la faille de sécurité dans le phpMyAdmin. Et il l'a exploité en lançant les scans à partir de ces serveurs. En tout un peu moins de ... 5500 (!!!!!!) serveurs sont concernés. Nous avons dû intervenir et changer les méthodes pour gérer autant de serveurs de nos clients qui ne sont pas à jour. Normalement, le robot detecte le scan et les met en rescue. Nous allons changer en: - nous allons intervenir sur les serveurs pour bloquer le scan et bloquer le phpmyadmin - si la clé d'ovh n'est pas installé sur le serveur nous allons rebooter en hard le serveur Normalement les scans devraient s'arrêter en suite. Je pense que dans 1 heure on est là. Nous allons en suite prendre contact avec tous les clients pour leur proposer (c'est tout ce qu'on peut faire, on ne peut les obliger) une mise à jour de leur système. On est en train de terminer les outils pour gérer le phishing et donc on va en suite bloquer tous ces serveurs sur le port 80 jusqu'à ce que le serveur soit mis à jour ... Comme ça on sera sûr que la faille de securité sur le serveur ne sera pas re-exploitée ... ... au boulot ... Amicalement Octave J'ai un de mes clients qui était concerné, il n'avait pas mis à jour sa release malgré mon mail cet été (et les rappel depuis). Je trouve ça intéréssant de voir qu'un hacker a tout de même attendu 2 mois avant d'exploiter la faille. Est ce que c'est volontaire (genre il laisse 2 mois pour mettre à jour), ou est ce que c'est un simple retard de leurs part... |
|
koreth
| Sébastien 
Inscrit le : 17/09/2009 |
# Le 28/10/2010 à 19:52 C'est, à mon sens, volontaire. Une sorte de "déresponsabilisation", du genre "je n'ai attaqué que ceux qui ont ignoré le risque". Sébastien BAUDRU, CEO DRASTIC |
Répondre
Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.