Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de qdm :
- [25/09@19:01] Nous sommes singulièrement absents de la discussion sur le protocole de Londres
- [17/09@12:37] On parle du Protocole de Londres dans Le Monde
- [17/09@08:07] Microsoft, ton univers impitoyable...
- [06/07@16:22] Tous ensemble pour un monde plus gris
- [29/06@11:53] Virtualisation et jeux vidéos
- [07/05@22:56] Mes stats de messagerie pour avril 2007
- [07/05@09:28] Pub commerciale éhontée et opportuniste
- [04/05@14:55] [VENDREDAY](TROLL][UBUNTU][GNOME]Gnome, c'est tout pourri, Ubuntu y a de l'idée, et mon royaume pour un Klipper
- [27/04@13:02] Un vote plus automatisé tout en restant crédible ?
- [02/04@23:09] Mes stats de messagerie pour mars 2007
- [22/03@15:11] Statistiques de messagerie instantanée
- [05/02@21:42] Anthony Towns ou les leçons d'un grand maître zen
- [01/02@18:27] De la confiance relative dans son produit
- [24/01@21:29] Savoir si un fichier .doc a été édité avec OpenOffice.org ?
- [27/11@00:41] URGENT: petition allemande contre les ordinateurs de vote
- [13/11@23:10] Richard Stallman pu lépa libre
- [13/11@15:25] Encore une preuve des problèmes posés par le vote électronique
- [10/09@20:26] Consomag
- [29/08@21:16] Ah en fait on s'était trompé, finalement la musique gratuite c'est bien
- [26/01@12:34] Le gouvernement est altruiste lui aussi
Journal : Détection de rootkit
Posté par qdm () le 01 octobre 2007> Lire le journal (32 commentaires, moyenne: 4,2).
chkrootkit et knoppix STD
Salut,
Tu peux essayer de booter sur une knoppix std (http://www.s-t-d.org/tools.html), cette distribution inclue plein d'outils de sécurité. Ensuite tu peux utilisez chkrootkit qui est un bon détecteur de rootkit.
Mieux vaut monter la partition en ro ou fait un dd de la partition avant le chkrootkit pour ne pas perturber une éventuelle analyse 'forensics' par la suite.
chkrootkit
plus simple qu'une distrib : chkrootkit. Tu le charges là : http://www.chkrootkit.org/ (ou sur un des miroirs) tu le dézippes dans un répertoire et tu lances la commande chkrootkit en tant que root. Il examine ton système et te dit si tu es rootkité ou pas.
-
[^]Re: chkrootkit
Posté par Frédéric COIFFIER () le 01/10/2007 à 16:27. (lien). Évalué à 2.En fait, qu'est ce qui différencie chkrootkit de rkhunter ?
-
[^]Re: chkrootkit
Posté par finss (page perso, ) le 01/10/2007 à 17:18. (lien). Évalué à 2.D'après un des dev, "Rootkit Hunter propose à peu près les mêmes fonctionalités que chkrootkit mais avec des choses en plus." ( http://frlinux.net/?section=securite&article=53 ) Donc on peut utiliser les deux l'un après l'autre, ce qui permet de chercher plus de "malwares".
-
-
[^]Re: chkrootkit
Posté par Aldoo (Jabber id, ) le 01/10/2007 à 19:03. (lien). Évalué à 7.Euh... c'est moi où les rootkits ce n'est plus ce que c'était ?
Non, parce que, même connecté en root, si ton système est vraiment compromis, je ne vois pas comment un outil tournant par dessus pourrait être certain de quoi que ce soit !
Ou bien je me trompe et il existe une magie permettant de faire cela ?
Share and enjoy
D'où te viennent ces soupçons ? M'enfin, c'est juste histoire d'alimenter un peu ma paranoïa...
Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)
-
[^]Re: Share and enjoy
Posté par baud123 (Jabber id, page perso, ) le 01/10/2007 à 17:41. (lien). Évalué à 3.Ne t'inquiète pas tant que ça - quand bien même tu ne serais pas parano - ça ne veut pas dire qu'ils ne sont pas déjà après toi :D
-
[^]Re: Share and enjoy
Posté par Rémi Pannequin (Jabber id, ) le 01/10/2007 à 19:17. (lien). Évalué à 3.Je vois... « Même les paranoïaques ont des ennemis »
--
Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)
-
-
[^]Re: Share and enjoy
Posté par qdm () le 01/10/2007 à 19:58. (lien). Évalué à 4.Station de travail qui ne tourne normalement avec aucun service vers l'extérieur. Je travaillais dessus quand le détecteur de processus fous de KDE m'a dit que netstat consommait trop de CPU. Bien sûr, je n'utilisais pas netstat à ce moment là. J'ai éteint la machine et je vais commencer l'autopsie demain.
-
[^]Re: Share and enjoy
Posté par David () le 01/10/2007 à 20:09. (lien). Évalué à 2.c'est quoi ce detecteur de processus fou? Il faut activer une option?
-
[^]Re: Share and enjoy
-
-
[^]Re: Share and enjoy
Posté par Benoît Ganne (page perso, ) le 02/10/2007 à 08:11. (lien). Évalué à 2.Si tu utilisais FF ou Seamonkey ou un de ses avatars, c'est peut-être normal, ils utilisent netstat pour récupérer dieu sait quelle info et ils laissent trainer des zombies dans tous les coins (les cochons !).
-
[^]Re: Share and enjoy
Posté par qdm () le 02/10/2007 à 11:17. (lien). Évalué à 2.Ohh... T'aurais un pointeur vers ce comportement ? Parce que bon, dans l'hypothèse où j'aurais été rootkité, ça m'étonnait franchement qu'un programme aussi trivial que le détecteur de processus fous (qui doit juste être une surcouche de top ou d'un truc de ce style) le détecte.
-
[^]Re: Share and enjoy
Posté par qdm () le 02/10/2007 à 11:30. (lien). Évalué à 2.Bon à en croire le changelog d'Iceweasel (http://packages.debian.org/changelogs/pool/main/i/iceweasel/(...) ), toute trace d'utilisation de netstat devrait avoir disparu d'Iceweasel. Mais vu comment il semble avoir été retors, la bonne nouvelle c'est qu'il pourrait encore survivre dans un coin du binaire.
Mais bon, comme il est officiellement mort, l'hypothèse du rootkit tient toujours la route...
Problème (ou bonheur), mes tests de rootkit sur la bécane n'ont pour l'instant rien révélé d'anormal. Peut être s'orienter vers un script qui loggerait au cas où le processus firefox-bin appellerait netstat....-
[^]Re: Share and enjoy
Posté par FRLinux (page perso, ) le 02/10/2007 à 12:32. (lien). Évalué à 1.> Peut être s'orienter vers un script qui loggerait
Ou alors utiliser SELinux (que tu peux parametrer avec Debian Etch, sarge dispo mais plus de manips) pour logger ce qu'il se passe. La page qui va bien : http://wiki.debian.org/SELinux/Setup-
[^]Re: Share and enjoy
Posté par FRLinux (page perso, ) le 02/10/2007 à 12:34. (lien). Évalué à 2.Sinon si tu compiles ton petit noyau avec amour, tu peux aussi ajouter GRSEC (http://grsecurity.net) que j'ai tendance a utiliser pour des serveurs exposes.
Le projet est actif mais avec un peu de retard sur les patches. Faut dire que le mec est tout seul.-
[^]Re: Share and enjoy
Posté par Fabien (page perso, ) le 03/10/2007 à 20:31. (lien). Évalué à 1.grsecurity-2.1.11-2.6.22.9-200709280630.patch September 28 2007 17:57:54
kernel 2.6.22.9 2007-09-26 18:10 UTC
kernel 2.6.23-rc9-git1 2007-10-02 19:01 UTC
pas si en retard que ça.
Je recommande aussi ce projet
-
-
-
-
-
-
Security LiveCD
Security Live CD est un live-cd orienté sécurité, c'est un dérivé de la Fedora 7.
http://fedoraproject.org/wiki/LukeMacken/SecurityLiveCD
les trucs classiques
- regarder last, lastb, ~/.bash_history etc.
- chercher des process modifiés (ps modifié, netstat modifié, strings modifié et c.)
- chercher des process invisibles (comparaison de ps avec /proc/)
- chercher des dossier ".." ou ". " ou " ." ou "..." etc ( genre find / -type d -name ".*" )
- vérifier que lsmod ne liste pas de module suspect
- passer chkrootkit sur la machine vérolée ... parfois ca marche
- passer chkrootkit & autres détecteurs sur un live cd...
Une seule solution
Doutes de compromission? Réinstallation!
Ubuntu is an ancient african word meaning : "I can't configure Debian".
-
[^]Re: Une seule solution
Posté par Thierry Thomas (Jabber id, page perso, ) le 01/10/2007 à 17:25. (lien). Évalué à 10.> Doutes de compromission? Réinstallation!
Inutile si c'est pour réinstaller à l'identique et permettre que ça recommence...
Il est indispensable d'essayer de comprendre d'où provient cette éventuelle intrusion, et quelles conséquences elle aurait pu avoir (par ex. sur les autres machines du réseau local).
Et n'oubliez pas : compromis, chose due !--
Th. Thomas.
Heuu...
Pourquoi mettre ça en première page ??
Le forum aurai très bien été. Et, au pire, la seconde pas, si tu voulais une réponse rapide.
Mais certainement pas en première page. La prochaine fois, fait une dépêche :p
Milite pour un about:black sur les navigateurs ! (Sauvons la planète)
Tu es mal...
Parce que dans le dernier Misc, je crois, ça parle de nouveau rootkit.
Des rootkits qui installe ta machine dans une machine virtuelle.
Bref, tu es dans ta machine, et tu ne peux pas voir ce qu'il se passe
autour de toi .
Il y bien des solutions, vérifier les adresses mémoires retourné
pour certaines adresse connue et courante, mais bon, les
méchants rootkit peuvent te répondre ce que tu veux entendre !
Tu peux verifier la place qu'il te reste exactement sur ton disque, etc...
Mais encore une fois, le mechant rootkit qui dirige ta machine
te repond ce que tu veux entendre !
En fait, le seul moyen d'etre sur de la presence ou pas d'un rootkit,
c'est d'installer Windows et d'ecouter un CD de musique de chez
SonyMusic. La tu sera sur d'avoir un rootkit :)
You got the money, I got the soul.
-
[^]Re: Tu es mal...
Posté par Aldoo (Jabber id, ) le 01/10/2007 à 20:12. (lien). Évalué à 6.SonyMusic sapusépalibre. En plus, y a pas de version pour gnoulinusque !
Installons plutôt un vrai GNU-Rootkit libre et multiplateforme... pourquoi pas emacs ?
(ça te prend de la mémoire, ça te fait croire que tu es dans un OS, alors qu'il y a tout un système qui tourne autour... non vraiment, y a pas photo !)-
[^]Re: Tu es mal...
Posté par kowalsky () le 01/10/2007 à 20:20. (lien). Évalué à 1.http://securite.reseaux-telecoms.net/actualites/lire-sony-mu(...)
Voici pourquoi je parlais de SonyMusic :)--
You got the money, I got the soul.
-
-
[^]Re: Tu es mal...
Posté par pasBill pasGates () le 02/10/2007 à 00:08. (lien). Évalué à 7.En fait il y a un(des) moyen de detecter des VM rootkit : noter le nombre de cycles que mettent certaines instructions pour s'executer(une VM doit intercepter certaines instructions et les traiter specialement, et ca rajoute un tas de cycles) et comparer avec ce qui devrait etre le cas sans VM.
Bien sur un VM rootkit peut essayer de deviner si c'est ce que tu es en train de faire, mais en codant ton truc bien comme il faut (pas un simple loop qui prend la valeur x fois), tu y arrives sans probleme.
-
[^]Re: Tu es mal...
Posté par Misc (page perso, ) le 02/10/2007 à 06:59. (lien). Évalué à 4.Mais non, il doit installer Oracle Matrix Edition, et ensuite, il va réussir à trouver Neo si il s'habille avec une combi en latex moulante.
-
[^]Re: Tu es mal...
Posté par RedIsDead () le 02/10/2007 à 10:29. (lien). Évalué à 4.L'article de MISC est sympa, fait peur, toussa.
Mais bon d'après ce que j'ai compris pour l'instant ces rootkit new gen restent à un stade très expérimental.
De plus si ton cpu n'a pas de capacité de virtualisation, ça veut dire que ton os rootkité tourne dans une vm logicielle et là c'est plus facile à tester.
-
[^]Re: Tu es mal...
Posté par Thomas Douillard () le 04/10/2007 à 16:48. (lien). Évalué à 4.En fait le rootkit ultime c'est la matrice, un peu.
Cette page a été générée par Templeet en 0.1247s (dont 0.0113 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.