Serveur Online piraté!

Envie de tchacher, n'hésitez pas !
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

Hello everyone,

I just want to tell you that your server was hacked. Your protection was completely awful...
While the entrance, we downloaded the virtual machines and deleted them.
(We had to download for many hours -.- Compressed files but huge ones...)
Do not try to search in your logfiles. We deleted the important parts.
If you want to get the backup of your VMs, you should send us an amount of 2.5 BTC (Bitcoin)
for each VM to the address "1B45kTfXKjT7eU3xnaH1LvJ8wnM5wbNwL1". After the payment, we will contact you via mail.
Then, we will send you a HDD where the VMs are stored. If you want, we can give you access to our FTP where you can
download them. (Because FTP is faster, remember the shipping time of the HDD after payment)

Please notice, that we will sell the VMs to others if we will not receive these Bitcoins from you. Do not worry,
you have 2 weeks for these payment. After 2 weeks without payment, we will break the VM and sell
all data to our customers (other hackers, spammers, scammers, ...)
(FYI: Some of them may use the data of your customers/employees/... to blackmail them for money. No nice guys, but they pay for that data)

Do not worry: If we receive the BTC, we will send you the backup (or give you full access to FTP) and delete all data here.
(If you want FTP, you can do it for your own) We are hackers, but we want to play fair. If you pay, your data will be secure.
There a short overview about where to buy BTC:
- www.litebit.eu
- www.anycoindirect.eu
- www.happycoins.com
- www.bitcoin.de
- www.btcdirect.eu
- www.clevercoin.com
- www.bitstamp.net

We wish you a nice week
Kind regards

- Russian guardians


Please think about our offer, your data and your computers...
Je viens de découvrir ceci dans mon datastore! :o :fou:

Par où sont-ils passé ?

Bien entendu, mes VM ne démarre plus!!!
Avatar de l’utilisateur
biour
Messages : 24064
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par biour »

:o
Image
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Serveur Online piraté!

Message par poulpito »

si ils ont fait ca ca veut dire accès ouvert sur ton hyperviseur
(ssh ou autre resté actif ? ) ou alors mdp d'admin trop faible et commun à une vm
tu peux pas rentrer simplement par ailleurs

t'avais des trucs importants dessus ?
sur online regarde l'activité réseau de ton serveur voir si c'est vrai si y'a eu de l'upload massif qui correspond a la taille de tes vms ^^
jpense que ca a juste été delete de toute façon :p
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

Le mot de passe de l'hyperviseur est composé de 8 caractères (chiffre, lettre maj et min) et n'est pas commun à une VM.

Les VM qui écoutaient de l'extérieurs :

pfSense : mais l'interface de login n'est accessible que via mon IP @home

SMTP : relais

Tout le reste passe par un VPN ipsec.

Data pro uniquement, il s'agit de mon serveur de secours (réplication).

Côté bande passante :

192.62 Go en IN cela correspond aux sauvegardes et réplication
8.71 Go OUT loin de correspondre à la taille des VM.

Je pense aussi que tout a été effacé.
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par gizmo78 »

8 caractères c'est pas suffisant :/

passe à 16 voir plus, perso je mets 32.

j'utilise ca:
date +%s | sha256sum | base64 | head -c 32 ; echo
à envoyer sur un shell linux
Avatar de l’utilisateur
Ryu_wm
Messages : 7402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)
Contact :

Serveur Online piraté!

Message par Ryu_wm »

Ho punaise, le genre de message qui fait froid dans le dos quand tu le découvre et quand tu te rends compte que c'est vrai :/
Donnes nous des nouvelles de ton enquête.
Tu me fais un peu peur sur ce coup il serait peut etre temps que j'allonge mes mots de passe, je me croyais à l’abri avec des carac spéciaux mais il semble que non.
-------------------------
Image
Digital n'est pas Numérique bordel :o
Image
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

27 Mo de log à détailler! Cela fait quelques lignes!!!
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

Au 20 Juin 2015 à 16:06 dans le fichier host.log

Code : Tout sélectionner

2015-06-20T16:06:21.889Z [358C4B70 info 'Nfcsvc' opID=A22F4742-000000BD user=root] file delete force (/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmdk -> /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmdk) by 'root'
La manipulation au complet :

Code : Tout sélectionner

2015-06-20T16:05:20.543Z [35D52B70 verbose 'DatastoreBrowser' opID=A22F4742-00000048 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense' is owned by user 'root'
2015-06-20T16:05:31.992Z [35D52B70 verbose 'DatastoreBrowser' opID=A22F4742-0000004F user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense' is owned by user 'root'
2015-06-20T16:05:46.729Z [35740B70 info 'Libs' opID=A22F4742-00000063 user=root] OBJLIB-FILEBE : FileBEOpen: can't open '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense-flat.vmdk' : Failed to lock the file (262146).
2015-06-20T16:05:46.729Z [35740B70 info 'DiskLib' opID=A22F4742-00000063 user=root] DISKLIB-DSCPTR: DescriptorOpenInt: failed to open '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense-flat.vmdk': Failed to lock the file (40002)
2015-06-20T16:05:46.729Z [35740B70 info 'DiskLib' opID=A22F4742-00000063 user=root] DISKLIB-LINK  : "/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense-flat.vmdk" : failed to open (Failed to lock the file).
2015-06-20T16:05:46.742Z [35740B70 verbose 'Default' opID=A22F4742-00000063 user=root] [Search::GetInfo] Successfully opened disk: /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmdk
2015-06-20T16:05:47.432Z [35740B70 verbose 'DatastoreBrowser' opID=A22F4742-00000063 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmdk' is owned by user 'root'
2015-06-20T16:06:07.427Z [35D52B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-0000008E user=root] Power off request received
2015-06-20T16:06:07.428Z [35D52B70 info 'Vimsvc.ha-eventmgr' opID=A22F4742-0000008E user=root] Event 57339 : pfSense on  sd-30805. in ha-datacenter is stopping
2015-06-20T16:06:07.428Z [35D52B70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-0000008E user=root] State Transition (VM_STATE_ON -> VM_STATE_POWERING_OFF)
2015-06-20T16:06:07.493Z [35D52B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-0000008E user=root] PowerOff request queued
2015-06-20T16:06:09.339Z [35740B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] MKS ready for connections: false
2015-06-20T16:06:09.340Z [35740B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Tools are operations ready
2015-06-20T16:06:11.479Z [33980B70 info 'vm:Vix: [34327 foundryVMPowerOps.c:980]: FoundryVMPowerStateChangeCallback: /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  vmx/execState/val = poweredOff.
2015-06-20T16:06:11.479Z [33980B70 info 'vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  Disconnect check in progress.
2015-06-20T16:06:11.479Z [33980B70 info 'vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  Disconnect check: no reasons to stay connected.
2015-06-20T16:06:11.479Z [33980B70 info 'vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  Unmounting VM begun.
2015-06-20T16:06:11.479Z [33980B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Vigor client state callback 4 success
2015-06-20T16:06:11.481Z [35C4EB70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] VM is not online; not registering notification for Bootsrap
2015-06-20T16:06:11.489Z [33980B70 info 'vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  Unmounting VM complete.
2015-06-20T16:06:11.489Z [33980B70 info 'vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  Reloading config state.
2015-06-20T16:06:11.755Z [35A48B70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Upgrade is required for virtual machine, version: 8
2015-06-20T16:06:11.784Z [33980B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Vigor client state callback 0 success
2015-06-20T16:06:11.785Z [35203B70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Deferring power-off task until cartel exit
2015-06-20T16:06:11.786Z [35B8CB70 info 'Vimsvc.ha-eventmgr'] Event 57354 : pfSense on  sd-30805. in ha-datacenter is powered off
2015-06-20T16:06:11.786Z [35B8CB70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] State Transition (VM_STATE_POWERING_OFF -> VM_STATE_OFF)
2015-06-20T16:06:11.786Z [35B8CB70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Predicted VM overhead: 105709568 bytes
2015-06-20T16:06:11.821Z [35B8CB70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Time to gather config: 34 (msecs)
2015-06-20T16:06:11.821Z [35B8CB70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] CacheDatastores: fileBacking [] /vmfs/volumes/54539d95-4ce96738-87f3-d4ae52cf32f3/ISO/pfSense-LiveCD-2.1.5-RELEASE-amd64.iso has null datastore reference
2015-06-20T16:06:11.965Z [33980B70 info 'vm:Vix: [34327 foundryVM.c:11404]: FoundryVMMountStateChangeCallback: remount complete, set flag, VM = /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']
2015-06-20T16:06:11.974Z [33980B70 info 'vm:Vix: [34327 foundryVMPowerOps.c:980]: FoundryVMPowerStateChangeCallback: /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  vmx/execState/val = poweredOff.
2015-06-20T16:06:11.974Z [35D11B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Tools are not operations ready
2015-06-20T16:06:11.975Z [34E80B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] ToolsNamespaceGenerationInfo callback received. VM state = VM_STATE_OFF
2015-06-20T16:06:11.990Z [35080B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] sleepState value is 0
2015-06-20T16:06:11.991Z [35D11B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] AppMonitoringStatusCb: VM is offline
2015-06-20T16:06:12.503Z [33980B70 info 'vm:Detected automation socket close for VM (/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']
2015-06-20T16:06:21.889Z [358C4B70 info 'Vimsvc.TaskManager' opID=A22F4742-000000BD user=root] Task Completed : haTask--vim.FileManager.delete-392685805 Status success
2015-06-20T16:06:21.889Z [358C4B70 info 'Nfcsvc' opID=A22F4742-000000BD user=root] file delete force (/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmdk -> /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmdk) by 'root'
2015-06-20T16:06:21.889Z [358C4B70 verbose 'Hostsvc.HaHost'] ModeMgr::End: op = normal, current = normal, count = 5
2015-06-20T16:08:03.485Z [35B8CB70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] State Transition (VM_STATE_OFF -> VM_STATE_RECONFIGURING)
2015-06-20T16:08:03.485Z [35B8CB70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Invoking interceptor:1-hbr
2015-06-20T16:08:03.485Z [35B8CB70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Done invoking interceptor:1-hbr
2015-06-20T16:08:03.486Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Current VM Tracking state: disabled
2015-06-20T16:08:03.703Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] CheckForOpaqueNetworkImpact: opaque network changes in deviceSpec: { [4000->:] [4001->:]}
2015-06-20T16:08:03.703Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Setting VM's tracking state to disabled.
2015-06-20T16:08:04.254Z [359C7B70 info 'vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root]  Reloading config state.
2015-06-20T16:08:04.401Z [33980B70 info 'vm:Vix: [34327 foundryVMPowerOps.c:980]: FoundryVMPowerStateChangeCallback: /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx']  vmx/execState/val = poweredOff.
2015-06-20T16:08:04.401Z [35D11B70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx'] Upgrade is required for virtual machine, version: 8
2015-06-20T16:08:04.407Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Commit Vigor batch operation successful
2015-06-20T16:08:04.407Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Signalling Commit Vigor batch operation
2015-06-20T16:08:04.407Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Waiting on Commit Vigor batch operation
2015-06-20T16:08:04.407Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Completed Commit Vigor batch operation
2015-06-20T16:08:04.408Z [359C7B70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] State Transition (VM_STATE_RECONFIGURING -> VM_STATE_OFF)
2015-06-20T16:08:04.408Z [359C7B70 info 'Vimsvc.ha-eventmgr' opID=A22F4742-000001EE user=root] Event 57362 : Reconfigured pfSense on sd-30805. in ha-datacenter
2015-06-20T16:08:04.432Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Time to gather config: 23 (msecs)
2015-06-20T16:08:04.432Z [359C7B70 info 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] CacheDatastores: fileBacking [] /vmfs/volumes/54539d95-4ce96738-87f3-d4ae52cf32f3/ISO/pfSense-LiveCD-2.1.5-RELEASE-amd64.iso has null datastore reference
2015-06-20T16:08:04.433Z [359C7B70 verbose 'Vmsvc.vm:/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' opID=A22F4742-000001EE user=root] Reconfigure worker thread completed succesfully
2015-06-20T16:08:28.211Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] 54785950-6dc57726-3a15-bc305bda72ed-datastorebrowser::Search Path = [DataProd] pfSense Spec = (vim.host.DatastoreBrowser.SearchSpec) {
2015-06-20T16:08:29.035Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmx' is owned by user 'root'
2015-06-20T16:08:29.035Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/vmware.log' is owned by user 'root'
2015-06-20T16:08:29.036Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/vmware-1.log' is owned by user 'root'
2015-06-20T16:08:29.036Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.nvram' is owned by user 'root'
2015-06-20T16:08:29.036Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmxf' is owned by user 'root'
2015-06-20T16:08:29.037Z [35D11B70 verbose 'DatastoreBrowser' opID=A22F4742-00000233 user=root] DatastoreBrowserImpl::PopulateSearchResult: File: '/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/pfSense.vmsd' is owned by user 'root'
2015-06-20T16:50:33.188Z [35B0BB70 info 'Nfcsvc' opID=A22F4742-0000023C user=root] file copy  (/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/ISO/X17-59197.iso -> /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/X17-59197.iso) by 'root'
2015-06-20T16:52:58.781Z [35ACAB70 info 'Nfcsvc' opID=A22F4742-0000023A user=root] file copy  (/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/ISO/7601.17514.101119-1850_x64fre_server_eval_fr-fr-GRMSXEVAL_FR_DVD.iso -> /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/7601.17514.101119-1850_x64fre_server_eval_fr-fr-GRMSXEVAL_FR_DVD.iso) by 'root'
2015-06-20T16:55:04.909Z [33540B70 info 'Nfcsvc' opID=A22F4742-00000237 user=root] file copy  (/vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/ISO/fr_windows_7_professional_with_sp1_x64_dvd_u_678724.iso -> /vmfs/volumes/54785950-6dc57726-3a15-bc305bda72ed/pfSense/fr_windows_7_professional_with_sp1_x64_dvd_u_678724.iso) by 'root'
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

Malheureusement je ne pourrais pas retrouver l'IP. Le fichier auth.log ne contient que les logs de ce jour. Idem pour les fichiers compressés.

Je vais faire une demande au support.

Après analyse des logs et vu l'ordre que reçoit l'yperviseur, j'en conclus que le pirate est tout simplement passé par la grande porte! :o Mais je n'arrive pas à comprendre comment... :/
Avatar de l’utilisateur
biour
Messages : 24064
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par biour »

Script + faille
Image
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Serveur Online piraté!

Message par poulpito »

jpensai à ca pas de veeam backup ou de vieux vcenter connecté pour tester ou truc du genre ?

kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

Non, rien de tout ça.

Concernant ma demande au support.
malheureusement les logs sont uniquement présents dans votre serveur, nous n'avons aucuns éléments ou informations de connexion concernant votre serveur.
Mais ce n'est pas grave, je pense avoir compris.

La version du serveur était la suivante : ESXi 5.5 Update 1 Build 1623387 donc vulnérable à la faille heartbleed :o Le pirate a dû passer par là même si je ne peux pas le certifier à 100%. :/

Ma copine a tjrs dit que j'étais un expert en procrastination!
Avatar de l’utilisateur
biour
Messages : 24064
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par biour »

Â?
Image
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par gizmo78 »

suspense :D
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Serveur Online piraté!

Message par poulpito »

vais peut etre pensé à maj le mien d'ailleurs ^^
suis toujours en 2456374 (2015 02 04)
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Serveur Online piraté!

Message par poulpito »

Update Result
Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
Reboot Required: true

:p
Avatar de l’utilisateur
X-System
Messages : 6841
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par X-System »

Non, rien de tout ça.

Concernant ma demande au support.
malheureusement les logs sont uniquement présents dans votre serveur, nous n'avons aucuns éléments ou informations de connexion concernant votre serveur.
Mais ce n'est pas grave, je pense avoir compris.

La version du serveur était la suivante : ESXi 5.5 Update 1 Build 1623387 donc vulnérable à la faille heartbleed :o Le pirate a dû passer par là même si je ne peux pas le certifier à 100%. :/

Ma copine a tjrs dit que j'étais un expert en procrastination!
https://www.vmware.com/support/vsphere5 ... notes.html

8 avril 2014

N'as-tu pas pensé de faire la mise à jour depuis plus d'un an ?
PC1 = MW70-3S0 # 2x E5-2689 v4 # 32Go DDR4-2400 ECC reg # RTX 3080 Ti # 2x1To SSD
PC2 = Z170XP-SLI # i7-7700 # 32Go DDR4-2400 # 240Go NVMe # SAS9211-8i # 10 SSD/HDD SATA # LTO-5 SAS
PC3 = T460p # i7-6700HQ # 16Go DDR4-2133 # 940MX # 240Go SSD
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Serveur Online piraté!

Message par poulpito »

c'est pas aussi simple que ca X-S de faire une maj sur un hyperviseur ;)
surtout quand t'es tout seul et que tu te concentre sur le service et moins sur l'infra
sans compter que tu peux vite faire planter ton esxi suivant l'update des paquets (j'ai eu le cas avec un nic) et te retrouver sans hyperviseur, sans vm, avec une console kvm pas pratique pour un serveur à l'autre bout de la france ;)

donc bon ... pour / contre update c'est toujours compliqué
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

@X-System voir réponse de poulpito. ;)
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Serveur Online piraté!

Message par poulpito »

tsss l'autre kali la :D go restore tes backups que tu as soigneusement fait chaque jour :p histoire que le russe il vienne te reprendre ta vm en otage (bon en flinguant l'otage avant de négocier :p )
Avatar de l’utilisateur
merlin2000fr
Messages : 2140
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par merlin2000fr »

ha bon ils connaissent la négociation ? (je sors)
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

@poulpito Bah quoi ? Ta réponse est clair... :d Je n'ai rien à rajouter. ;) Concernant la restauration, Aucune sauvegarde sur ce serveur, mais rien n'a été perdu, puisqu'il s'agit uniquement de VM répliquées.

Quant à la possibilité d'une fuite de données, les logs disent le contraire.
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

Réinstallation lancée.

Démarrage de la dedibox fait
Initialisation du système d'installation fait
Initialisation du disque fait
Partitionnement du disque dur fait
Formatage du disque dur fait
Installation du système d'exploitation fait
Configuration du système
Configuration du bootloader fait
Redémarrage de la dedibox qui termine son installation fait

L'installation de votre système se termine sur le disque, veuillez patienter une heure avant de vous connecter.
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Serveur Online piraté!

Message par Zedoune »

T'as bien changé les clés ssh vers les autres machines s'il y en a ?
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Serveur Online piraté!

Message par kalistyan »

:hello:

Je vais regarder ça, merci. :) :jap:
Répondre