Forum Linux.général checksecurity signale une "contagion" : conduite à tenir ?

• # "chkrootkit" bien sûr et non "chksecurity" !!

  Posté par yojik77 le 15 juillet 2005 à 00:00. Évalué à 2.

  

  Ceci dit, je n'avance pas beaucoup : il existerait des faux-positifs de cet ordre pour bindshell mais comment s'en assurer ?
  
  http://linuxfr.org/comments/530260.html#530260(...)
  
  
  Par ailleurs, je n'utilise pas klaxon ni PortSentry, ce qui élimine une possibilité de faux-positif.
  
  http://www.chkrootkit.org/faq/#7(...)
  
  Par ailleurs, en relançant un chkrootkit, j'obtiens ce résultat :
  
  Checking `bindshell'... attention, ligne unix en erreur.
  INFECTED (PORTS: 600)
  
  
  Bref, je ne sais pas trop où je vais avec cette affaire. Je vais tenter du "./chkrootkit -x | more" pour voir si j'ai plus d'infos exploitables (sic).
  
  
  Yoj'

  • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

    Posté par LaBienPensanceMaTuer le 15 juillet 2005 à 00:08. Évalué à 6.

    

    Bah dans un premier temps, pour savoir si c'est un false positif ou non, fais un nmap sur ton ip, si tu vois le port 600 d'ouvert, alors il y a de quoi s'inquieter.
    
    Ensuite, un bête telnet dessus pourra peut etre te donner plus d'infos.
    Il s'agit peut être d'un soft que tu as installé mais dont tu ne te souviens plus.
    
    Pour finir essaye donc un netstat -ltpn en tant que root pour voir quel programme est en écoute. Attention toutefois, si tu t'es fait piraté par quelqu'un de compétent, cette commande peut très bien ne plus être digne de confiance.
    
    Après, si il s'avère que ta machine est réellement aux mains d'un vil pirate, je te conseillerai de sauvegarder tes documents et de réinstaller ton système. En effet, si l'individu est malin, il aura pris soin de pourrir intégralement ton système.
    
    Sur ce bonne soirée (sic) ....

    • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

      Posté par yojik77 le 15 juillet 2005 à 00:38. Évalué à 1.

      

      Vite fait d'installer nmap (au passage, téléchargé tripwire par précaution pour le futur s'il s'agit ce coup-ci d'une fausse alerte !) et donc, ça donne ça :
      
      Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-15 00:28 CEST
      Interesting ports on l05m-212-194-120-220.d4.club-internet.fr (212.194.120.220):
      (The 1660 ports scanned but not shown below are in state: closed)
      PORT STATE SERVICE
      22/tcp open ssh
      111/tcp open rpcbind
      606/tcp open urm
      
      Nmap finished: 1 IP address (1 host up) scanned in 0.317 seconds
      
      ****
      
      C'est qui rpcbind ??
      
      on le retrouve ci-dessous en plus...
      
      **
      
      Pour telnet, il n'y a rien qui passe (j'ai anonymisé mon IP en abc.def, si je suis peut-être vérolé, je ne suis pas non plus totalement moisi !) :
      
      telnet 212.194.abc.def
      Trying 212.194.abc.def...
      telnet: Unable to connect to remote host: Connection refused
      
      **
      
      Pour netstat, voilà ma sortie :
      
      Herissonodrome:/home/yoj# netstat -ltpn
      Connexions Internet actives (seulement serveurs)
      Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
      tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1859/portmap
      tcp 0 0 0.0.0.0:4662 0.0.0.0:* LISTEN 14481/amule
      tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2105/sshd
      tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2091/exim4
      tcp 0 0 0.0.0.0:606 0.0.0.0:* LISTEN 2120/rpc.statd
      
      
      Bon, je vais fermer ma connexion et j'y reviendrai demain depuis un autre OS. mais tout celà m'ennuie bien...
      
      
      Yoj' pertubé mais baîllant !
      

      • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

        Posté par gros_rouge le 15 juillet 2005 à 00:55. Évalué à 7.

        

         j'ai anonymisé mon IP en abc.def, si je suis peut-être vérolé, je ne suis pas non plus totalement moisi ! 

        
        T'aurais dû en faire de même avec le listing de nmap...

        • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

          Posté par yojik77 le 15 juillet 2005 à 01:12. Évalué à 1.

          

          T'aurais dû en faire de même avec le listing de nmap...

          
          
          > l05m-212-194-120-220.d4.club-internet.fr (212.194.120.220):
          
          
          Arff, caramba, encore raté !!
          
          Puisque tu m'as l'air bien plus réveillé que moi, que penses-tu de mes sorties ? Cracra ou pas si grave ??
          
          Ceci dit, Dodo d'urgence, moi...
          
          
          Yoj' --usé

      • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

        Posté par Ph Husson (site web personnel) le 15 juillet 2005 à 01:10. Évalué à 3.

        

        spa telnet localhost qu'il fallait faire
        mais
        telnet localhost 600
        PS:amule c'est lourd mal etc

        • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

          Posté par yojik77 le 15 juillet 2005 à 01:15. Évalué à 1.

          

          Yop, savait pas...
          
          ça donne ça alors :
          
          telnet localhost 600
          Trying 127.0.0.1...
          telnet: Unable to connect to remote host: Connection refused
          
          C'est plutôt mieux que mauvais, j'ai bon ?
          
          Par ailleurs, Soyez tous (Gérard, Fabrice, Ph?ilippe?), moultement remerciés et plussoyés pour vos efforts nocturnes pour me soutenir et me réconforter, j'apprécie beaucoup. Merci vraiment !
          
          La buena notte,
          
          
          Yoj'

          • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

            Posté par LaBienPensanceMaTuer le 15 juillet 2005 à 14:51. Évalué à 2.

            

            Au fait, moi c'est Gérald ... :p

            • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

              Posté par yojik77 le 15 juillet 2005 à 15:24. Évalué à 2.

              

              Sorry Gérald, j'en prends bonne note pour notre prochaîne soirée commune à l'occasion d'un nouveau sauvetage nocturne !!
              
              ;-)
              
              
              Yoj'

        • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

          Posté par yojik77 le 15 juillet 2005 à 01:16. Évalué à 1.

          

          > PS:amule c'est lourd mal etc
          
          Je sais, j'opine, j'ai honte.
          
          Tout confus suis je

          • [^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!

            Posté par ~ lilliput (site web personnel) le 15 juillet 2005 à 04:10. Évalué à 2.

            

            juste un petit conseil pour éviter de faire des cauchemars c'est d'installer tripwire. (tripwire t'envoi un résumé par mail et tout)
            
            ca permet de vérifié l'intégrité de tes fichiers.
            Un conseil backup les signatures crypté sur une clef usb/autre support. Ca te permet de connaitre les fichiers modifié.
            
            Attention vérifié avant les upgrade et updates les signature juste après les upgrades.

            http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

• # re

  Posté par LaBienPensanceMaTuer le 15 juillet 2005 à 07:55. Évalué à 4.

  

  Bon donc visiblement rien en écoute sur le port 600.
  Plutôt rassurant mais ce n'est pas non plus garanti que ton PC se porte comme un charme.
  Ceci dit en passant, le rpc.statd qui écoute sur le 606, cela me semble assez bizarre, d'autant plus que rpc.statd s'accompagne généralement de tout un tas d'autre services:
  
  [root@mass]:~# netstat -lptn |grep rpc
  tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN 23870/rpc.nfsd
  tcp 0 0 0.0.0.0:839 0.0.0.0:* LISTEN 21433/rpc.statd
  tcp 0 0 0.0.0.0:732 0.0.0.0:* LISTEN 23872/rpc.mountd
  
  Ce service est il réellement installé sur ta machine ? Si oui, en as tu réellement besoin ? Le passé des services rpc est plutôt chargé ...
  
  Bon courage.

  • [^] # Re: à propos des services rpc sur le port 606

    Posté par yojik77 le 15 juillet 2005 à 08:30. Évalué à 1.

    

    > Ce service est il réellement installé sur ta machine ?
    
    C'est bien mon souci effectivement. Synaptic me renvoie une liste de 18 paquets liés à "rpc" dans l'archive "sarge". je n'en ai instalé aucun. Je n'aime pas ça...
    
    A quoi ça sert d'ailleurs, ce service "rpc" ??
    
    ce qui m'épate ce que j'ai configuré Shorewall aux petits oignons et que mon ordi est normalement très très discret à scanner (divers tests en lignes...).
    
    Dans le doute je vais certainement réinstaller ma bécane (et ça ne m'amuse pas, je n'ai pas installé une Debian pour ça...) mais comment éviter que cela se reproduise, là, je calle un peu ?
    
    
    Yoj'

    • [^] # Re: à propos des services rpc sur le port 606

      Posté par yojik77 le 15 juillet 2005 à 08:35. Évalué à 2.

      

      > C'est bien mon souci effectivement. Synaptic me renvoie une liste de 18 paquets liés à "rpc" dans l'archive "sarge". je n'en ai instalé aucun. Je n'aime pas ça...
      
      Ooooups
      
      
      En creusant un peu mieux, je trouve 61 paquets dont "portmap". Celui-ci a du être installé à cause du paquet "nfs" dont je n'ai pas grand usage, en fait.
      
      je le dpkg-reconfigure ou je le supprime purement et simplement ??
      
      Yoj'

      • [^] # Re: à propos des services rpc sur le port 606

        Posté par LaBienPensanceMaTuer le 15 juillet 2005 à 14:48. Évalué à 2.

        

        Si tu n'en as pas l'utilité, apt-get --purge remove {portmap,nfs-common, ...} serait pas un mal je pense :)
        Fausse alerte donc !

• # Le mot de la fin ??

  Posté par yojik77 le 15 juillet 2005 à 08:47. Évalué à 1.

  

  Je viens de désinstaller portmap et nfs-common.
  
  Les sorties de netstat -ltpn et de de nmap en sont significativement raccourcie.
  
  Plus intérêssant, le chkrootkit est désormais négatif.
  
  2 options façon Platon :
  
  - soit je suis toujours compromis et le ménage a été fait par l'intrus en même temps que je désinstallais portmap (vraisemblance infime)
  - soit il s'agissait d'un faux-positif lié à portmap, qui ne s'était jamais produit précédemment sur mon système, soit que j'ai installé portmap il y a peu sans m'en rendre compte (??!), soit que la conjonctionde portmap avec un autre programme (amule ?) puisse donner lieu à erreur. (vraisemblance significative)
  
  Je suis donc rassuré jusqu'à plus ample informé mais j'apprécie tous les complèments que vous pourriez verser au dossier !!
  
  Merci encore à tous !
  
  Yoj'

  • [^] # Re: Le mot de la fin ??

    Posté par gros_rouge le 15 juillet 2005 à 14:37. Évalué à 3.

    

     soit il s'agissait d'un faux-positif lié à portmap, [...] 

    
    Ce faux-positif n'est pas lié à portmap mais au paquet « nfs-common » [1]. Ce paquet contient l'exécutable rpc.statd [2] que tu peux voir dans les sorties de netstat et de nmap.
    rpc.statd est lancé par le service /etc/init.d/nfs-common et le numéro de port est, par défaut, assigné par portmap [3].
    Si tu souhaites à nouveau faire gueuler chkrootkit, fais :
    • # apt-get install nfs-common
    • édite le fichier /etc/default/nfs-common et spécifie le port 600 comme port d'écoute STATDOPTS="--port 600"
    
    Sinon, je te conseille d'identifier les services lancés sur ta machine et de ne garder que ceux qui te sont réellement nécessaires. Ça sera des failles potentielles en moins et facilitera l'audit de ton système.
    
    [1] http://packages.debian.org/stable/net/nfs-common(...)
    [2] http://packages.debian.org/cgi-bin/search_contents.pl?searchmode=fi(...)
    [3] rpc.statd(8)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.