Forum Linux.général checksecurity signale une "contagion" : conduite à tenir ?

Posté par .
Tags : aucun
0
14
juil.
2005
Bonsoir,

Je relisais les lignes de mon checksecurity bi-hebdomadaire en confiance et détendu quand je suis tombé sur ça :

...
Checking `bindshell'... INFECTED (PORTS: 600)
...

Donc, y aurait comme un souci. je me rensigne en parallèle là et là sur ce qui se passe et quoi faire mais uncoup de main serait le bienvenu en bonus...

C'est un poste non critique, usage bureautique-internet mais avec pas mal de données perso précieuses (travaux universiatires, potos, etc.).

Qu'est-ce qu'on fait, Chef ?

Merci à vous, Heureux forumeurs sains & gaillards !!

Yoj'
  • # "chkrootkit" bien sûr et non "chksecurity" !!

    Posté par . Évalué à 2.

    Ceci dit, je n'avance pas beaucoup : il existerait des faux-positifs de cet ordre pour bindshell mais comment s'en assurer ?

    http://linuxfr.org/comments/530260.html#530260(...)


    Par ailleurs, je n'utilise pas klaxon ni PortSentry, ce qui élimine une possibilité de faux-positif.

    http://www.chkrootkit.org/faq/#7(...)

    Par ailleurs, en relançant un chkrootkit, j'obtiens ce résultat :

    Checking `bindshell'... attention, ligne unix en erreur.
    INFECTED (PORTS: 600)


    Bref, je ne sais pas trop où je vais avec cette affaire. Je vais tenter du "./chkrootkit -x | more" pour voir si j'ai plus d'infos exploitables (sic).


    Yoj'
    • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

      Posté par (page perso) . Évalué à 6.

      Bah dans un premier temps, pour savoir si c'est un false positif ou non, fais un nmap sur ton ip, si tu vois le port 600 d'ouvert, alors il y a de quoi s'inquieter.

      Ensuite, un bête telnet dessus pourra peut etre te donner plus d'infos.
      Il s'agit peut être d'un soft que tu as installé mais dont tu ne te souviens plus.

      Pour finir essaye donc un netstat -ltpn en tant que root pour voir quel programme est en écoute. Attention toutefois, si tu t'es fait piraté par quelqu'un de compétent, cette commande peut très bien ne plus être digne de confiance.

      Après, si il s'avère que ta machine est réellement aux mains d'un vil pirate, je te conseillerai de sauvegarder tes documents et de réinstaller ton système. En effet, si l'individu est malin, il aura pris soin de pourrir intégralement ton système.

      Sur ce bonne soirée (sic) ....
      • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

        Posté par . Évalué à 1.

        Vite fait d'installer nmap (au passage, téléchargé tripwire par précaution pour le futur s'il s'agit ce coup-ci d'une fausse alerte !) et donc, ça donne ça :

        Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-15 00:28 CEST
        Interesting ports on l05m-212-194-120-220.d4.club-internet.fr (212.194.120.220):
        (The 1660 ports scanned but not shown below are in state: closed)
        PORT STATE SERVICE
        22/tcp open ssh
        111/tcp open rpcbind
        606/tcp open urm

        Nmap finished: 1 IP address (1 host up) scanned in 0.317 seconds

        ****

        C'est qui rpcbind ??

        on le retrouve ci-dessous en plus...

        **

        Pour telnet, il n'y a rien qui passe (j'ai anonymisé mon IP en abc.def, si je suis peut-être vérolé, je ne suis pas non plus totalement moisi !) :

        telnet 212.194.abc.def
        Trying 212.194.abc.def...
        telnet: Unable to connect to remote host: Connection refused

        **

        Pour netstat, voilà ma sortie :

        Herissonodrome:/home/yoj# netstat -ltpn
        Connexions Internet actives (seulement serveurs)
        Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
        tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1859/portmap
        tcp 0 0 0.0.0.0:4662 0.0.0.0:* LISTEN 14481/amule
        tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2105/sshd
        tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2091/exim4
        tcp 0 0 0.0.0.0:606 0.0.0.0:* LISTEN 2120/rpc.statd


        Bon, je vais fermer ma connexion et j'y reviendrai demain depuis un autre OS. mais tout celà m'ennuie bien...


        Yoj' pertubé mais baîllant !
        • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

          Posté par . Évalué à 7.

           j'ai anonymisé mon IP en abc.def, si je suis peut-être vérolé, je ne suis pas non plus totalement moisi ! 

          T'aurais dû en faire de même avec le listing de nmap...
          • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

            Posté par . Évalué à 1.

            T'aurais dû en faire de même avec le listing de nmap...


            > l05m-212-194-120-220.d4.club-internet.fr (212.194.120.220):


            Arff, caramba, encore raté !!

            Puisque tu m'as l'air bien plus réveillé que moi, que penses-tu de mes sorties ? Cracra ou pas si grave ??

            Ceci dit, Dodo d'urgence, moi...


            Yoj' --usé
        • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

          Posté par (page perso) . Évalué à 3.

          spa telnet localhost qu'il fallait faire
          mais
          telnet localhost 600
          PS:amule c'est lourd mal etc
          • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

            Posté par . Évalué à 1.

            Yop, savait pas...

            ça donne ça alors :

            telnet localhost 600
            Trying 127.0.0.1...
            telnet: Unable to connect to remote host: Connection refused

            C'est plutôt mieux que mauvais, j'ai bon ?

            Par ailleurs, Soyez tous (Gérard, Fabrice, Ph?ilippe?), moultement remerciés et plussoyés pour vos efforts nocturnes pour me soutenir et me réconforter, j'apprécie beaucoup. Merci vraiment !

            La buena notte,


            Yoj'
          • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

            Posté par . Évalué à 1.

            > PS:amule c'est lourd mal etc

            Je sais, j'opine, j'ai honte.

            Tout confus suis je
            • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

              Posté par (page perso) . Évalué à 2.

              juste un petit conseil pour éviter de faire des cauchemars c'est d'installer tripwire. (tripwire t'envoi un résumé par mail et tout)

              ca permet de vérifié l'intégrité de tes fichiers.
              Un conseil backup les signatures crypté sur une clef usb/autre support. Ca te permet de connaitre les fichiers modifié.

              Attention vérifié avant les upgrade et updates les signature juste après les upgrades.

              http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # re

    Posté par (page perso) . Évalué à 4.

    Bon donc visiblement rien en écoute sur le port 600.
    Plutôt rassurant mais ce n'est pas non plus garanti que ton PC se porte comme un charme.
    Ceci dit en passant, le rpc.statd qui écoute sur le 606, cela me semble assez bizarre, d'autant plus que rpc.statd s'accompagne généralement de tout un tas d'autre services:

    [root@mass]:~# netstat -lptn |grep rpc
    tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN 23870/rpc.nfsd
    tcp 0 0 0.0.0.0:839 0.0.0.0:* LISTEN 21433/rpc.statd
    tcp 0 0 0.0.0.0:732 0.0.0.0:* LISTEN 23872/rpc.mountd

    Ce service est il réellement installé sur ta machine ? Si oui, en as tu réellement besoin ? Le passé des services rpc est plutôt chargé ...

    Bon courage.
    • [^] # Re: à propos des services rpc sur le port 606

      Posté par . Évalué à 1.

      > Ce service est il réellement installé sur ta machine ?

      C'est bien mon souci effectivement. Synaptic me renvoie une liste de 18 paquets liés à "rpc" dans l'archive "sarge". je n'en ai instalé aucun. Je n'aime pas ça...

      A quoi ça sert d'ailleurs, ce service "rpc" ??

      ce qui m'épate ce que j'ai configuré Shorewall aux petits oignons et que mon ordi est normalement très très discret à scanner (divers tests en lignes...).

      Dans le doute je vais certainement réinstaller ma bécane (et ça ne m'amuse pas, je n'ai pas installé une Debian pour ça...) mais comment éviter que cela se reproduise, là, je calle un peu ?


      Yoj'
      • [^] # Re: à propos des services rpc sur le port 606

        Posté par . Évalué à 2.

        > C'est bien mon souci effectivement. Synaptic me renvoie une liste de 18 paquets liés à "rpc" dans l'archive "sarge". je n'en ai instalé aucun. Je n'aime pas ça...

        Ooooups


        En creusant un peu mieux, je trouve 61 paquets dont "portmap". Celui-ci a du être installé à cause du paquet "nfs" dont je n'ai pas grand usage, en fait.

        je le dpkg-reconfigure ou je le supprime purement et simplement ??

        Yoj'
  • # Le mot de la fin ??

    Posté par . Évalué à 1.

    Je viens de désinstaller portmap et nfs-common.

    Les sorties de netstat -ltpn et de de nmap en sont significativement raccourcie.

    Plus intérêssant, le chkrootkit est désormais négatif.

    2 options façon Platon :

    - soit je suis toujours compromis et le ménage a été fait par l'intrus en même temps que je désinstallais portmap (vraisemblance infime)
    - soit il s'agissait d'un faux-positif lié à portmap, qui ne s'était jamais produit précédemment sur mon système, soit que j'ai installé portmap il y a peu sans m'en rendre compte (??!), soit que la conjonctionde portmap avec un autre programme (amule ?) puisse donner lieu à erreur. (vraisemblance significative)

    Je suis donc rassuré jusqu'à plus ample informé mais j'apprécie tous les complèments que vous pourriez verser au dossier !!

    Merci encore à tous !

    Yoj'
    • [^] # Re: Le mot de la fin ??

      Posté par . Évalué à 3.

       soit il s'agissait d'un faux-positif lié à portmap, [...] 

      Ce faux-positif n'est pas lié à portmap mais au paquet « nfs-common » [1]. Ce paquet contient l'exécutable rpc.statd [2] que tu peux voir dans les sorties de netstat et de nmap.
      rpc.statd est lancé par le service /etc/init.d/nfs-common et le numéro de port est, par défaut, assigné par portmap [3].
      Si tu souhaites à nouveau faire gueuler chkrootkit, fais :
      • # apt-get install nfs-common
      • édite le fichier /etc/default/nfs-common et spécifie le port 600 comme port d'écoute STATDOPTS="--port 600"

      Sinon, je te conseille d'identifier les services lancés sur ta machine et de ne garder que ceux qui te sont réellement nécessaires. Ça sera des failles potentielles en moins et facilitera l'audit de ton système.

      [1] http://packages.debian.org/stable/net/nfs-common(...)
      [2] http://packages.debian.org/cgi-bin/search_contents.pl?searchmode=fi(...)
      [3] rpc.statd(8)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.