Serveur et firewall oublié

[Gilles.T]

Salut,

Petite question:

J'ai commandé un serveur chez OVH il y a une semaine. Depuis, je fais le tour pour l'installer, et il me semble prêt. Mais je me viens de me rendre compte que j'ai merdé un truc sur le lancement automatique d'iptables, et que le serveur tourne avec ses règles de bases (donc tout accepter) depuis ce laps de temps.

Le serveur est en release2 ovh (Gentoo), donc pré-configuré, avec les mots de passe et le reste. Il n'était accessible que par son IP ou son nom de serveur, voire quelques heures avec un sous-domaine créé sur l'ancien.

Ma question est donc: est-il possible que pendant ce temps il se soit pris une attaque automatique, rootkit, ou autre ? J'ai envie de tout reformater par précaution (c'est censé être un nouveau serveur de prod), mais d'après mes recherches, c'est peut-être pas aussi évident que ça ?...

Merci :)

[Amour]

Si jamais aucun service autre que SSH n'est accessible avec mot de passe, en principe ça va... mais l'idéal est d'ouvrir seulement les ports qui vont bien

[Gilles.T]

Ca dépend ce que tu entends par "aucun". Il y avait les classiques, web, ftp, mail non configuré, mysql...

Je sais bien que dans l'idéal il ne faut ouvrir que les bons ports, et c'est bien ce que je fais dans le réglage du firewall. Seulement la config s'est mal lancée au démarrage, et là je cherche juste à savoir si je me fais des idées et qu'un serveur sans firewall ni DNS est tout de même protégé, ou si comme j'aurais tendance à le penser des scanneurs d'IP traînent partout et attaquent le moindre truc connecté au web. Suis-je trop parano, ou normalement prudent ?

(de cette question dépendant la perte de pas mal de temps à tout reconfigurer, d'où ma venue ^^)

[Amour]

Effectivement il y a souvent des scanneurs d'IP à la recherche de services ouverts...

Votre MySQL avait un bon mot de passe ? Idem pour FTP, mail ?

[seboss666]

Déjà, tu peux appliquer tes règles tout de suite, si y'avait un truc installé qui sniffe sur un port exotique, il sniffera plus rien. Maintenant, tu peux toujours t'amuser à changer tous les pass, les clés SSH (sauf celle d'OVH), et vérifier les logs de la semaine en question histoire de repérer un passage en force.

Et installe fail2ban si c'est pas déjà fait

[Gilles.T]

Tous les mots de passe étaient totalement bons, oui. Avec les paramètres par défaut, comme par exemple un max de 6 tentatives de login par connexion.

[RaphAstronome]

6 tentatives de login par connexion

Il serait bien de rajouter fail2ban quand même car le pirate peut faire autant de connexion qu'il veut sinon.

Sinon un serveur en tout ACCEPT c'est pas top mais c'est pas la cata non plus.

Vérifie que le serveur MySQL n'a pas pu être contacté de l'extérieur et vérifie si il à un bon MDP pour root.

[Gilles.T]

Le MDP est bon, oui.

Mais la question est surtout : est-ce que le tout ACCEPT est suffisant à le rendre vulnérable ?

[Amour]

Pas forcément, mais ça peut y contribuer à terme, si par exemple vous avez ouvert des services en trop, ou je ne sais quoi d'autre ?

[Gilles.T]

Rien de spécifique ouvert, comme je disais juste les classiques préconfigurés par OVH, avec des mots de passe corrects.

Là le firewall est évidemment bien configuré, mais c'est cette semaine passée en ACCEPT qui m'embête, et je cherche à savoir s'il y a une quelconque possibilité qu'avec juste l'IP du serveur dispo, il a pu être piraté.

[Amour]

A moins d'une faille connue dans un programme, je ne pense pas qu'il y ait eu un souci...

[seboss666]

Il y a peu de chance que ça soit le cas, malgré les numéros de versions des logiciels inclus dans la R2 (qui a dit antédiluvien ? ).

J'ai moi aussi pas mal d'activité dans les logs apache sur des bots qui scannent la présence de blogs, phpmyadmin, et compagnie. Et les ip restent pas longtemps, grâce à fail2ban.

[Gilles.T]

Antédiluvien ? Ben dis donc, qu'est-ce que tu dois penser de la release1 et de son apache1, php4...

Merci pour les réponses, en tout cas. Mais j'avoue, j'ai finalement craqué. J'aurais toujours eu un doute... Donc j'ai formaté, et remis le pare-feu comme il faut dès l'opération finie. Maintenant, je peux reprendre de zéro... x)

[16ar]

J'ai eu un serveur de mail (zimbra, donc ca comprend une tripotée de services qui tournent) pendant 2 ans avec tout en ACCEPT.

La seule fois ou je me suis fait hacker, c'était la faille OpenSSL dans Debian. Je croyais l'avoir réparé, mais j'avais mal fait en reprenant controle du serveur apres coup. Bref, j'ai fait un bon format apres, et comme j'ai oublié le mot de passe de mes archives de Zimbra, je n'ai plus installé depuis ^^'

Il me sert juste de serveur SSH, partage de fichier et mineur bitcoin (dans 2 ans peut etre, il arrivera a casser un bloc !!! ^^')

[Mephisto]

la vraie : question : quel kernel ? quels services en fonction ?

l'inquietude est proportionnelle au volume/a l'age des auth.log* encore en place.

et quand bien meme ce serait eleve, a priori, rien a craindre.