Journal J'ai l'impression qu'on est rentré chez moi sans ma permission...

Posté par .
Tags : aucun
0
4
mai
2003
Salut journal !

Ce matin, ma babasse a un comportement étrange : on dirait que la version de ls a changé car elle le supporte plus les options que j'utilisais avant (--show-control-chars). un petit ls -l /bin/ls me donne un resultat surprenant : l'uid est 31805 et le gid 500, étrange ... hop un 'find /sbin /bin /usr/bin /usr/sbin -gid 500' :

/sbin/ifconfig
/sbin/syslogd
/bin/ls
/bin/login
/bin/ps
/bin/netstat
/usr/bin/md5sum
/usr/bin/find
/usr/bin/top
/usr/bin/pstree
/usr/bin/dir
/usr/bin/slocate
/usr/sbin/lsof

la c'est vraiment suspect !
un petit tour dans les log : a ba non, /var/log/messages est un lien vers /dev/null donc pas de logs. En fait lastlog, messages, wtmp et xferlog pointent tous vers /dev/null avec les autorisations d'accés à 777 :/

Je crois que le doute est plus permis, ya quelqu'un qui est venu me dire bonjour pendant mon absence :)

M'en vais faire du menage la dedans...
  • # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

    Posté par . Évalué à 4.

    Je veux pas être pessimiste, mais à mon avis le ménage à faire c'est un formatage, avec une éventuelle sauvegarde pour disséquer le rootkit.
    • [^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

      Posté par . Évalué à 1.

      a ce propos, est que une reinstall a partir d'un rpm permet d'ecraser les versions rootkit de ls et consort? avec un rpm --force? et dans ce cas juste un reinstallation par dessus la config existante ne suffirait pas? c'est juste un question
    • [^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

      Posté par . Évalué à 3.

      Je connais pas de rootkit assez con pour faire un truc aussi grossier, ou ca a ete code par un gamin de 12 ans !

      Par contre si c'est aussi con qu'un gid 500 et des symlinks vers /dev/null t'as ptete pas besoin de reinstaller, faudrait googliser tout ca pour voir si tu peux trouver le kit en question.


      Ca peu aussi n'etre qu'une facade pour un truc plus mechant, le bon gros truc bien voyant pour cacher le petit truc discret
    • [^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

      Posté par (page perso) . Évalué à 4.

      bof.
      la premiere chose a faire, c'est de couper la connexion au net :)
      ensuite, essayer de tirer le maximum d'infos tant que la machine est toujours allumee (l'attaquant a ptet laisse des process fantomes derriere lui). Evidemment c'est aps simple vu que tu ne peux avoir confiance en rien :)

      Apres, reboot sur un cd rescue ou autre, et regarder attentivement ce qui a ete modifie, et les remplacer... c'est plus dangereux et plus couteux qu'un reformatage complet, mais amon avis tu en apprendras bien plus (ca pourrait meme te mener jusqua la faille qui a permis au mec de rentrer avec un peu de chance)
  • # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

    Posté par . Évalué à 2.

    bon encore moi avec mes questions, tu avais iptable en fonction? et dans ce cas pourrait on savoir quelle port etais ouvert? histoire de pas faire pareil :-D
  • # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

    Posté par . Évalué à 1.

    Si c'est un système rpm based.
    vérification :
    rpm -V -a
    remplacement :
    rpm -U --replacepkgs something*rpm
    pour savoir a quel paquet est rattaché un fichier :
    rpm -q -f [fichier]

    Tout est dans "man rpm".
    • [^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

      Posté par (page perso) . Évalué à 2.

      Tout est dans "man rpm".

      Sauf si ton binaire RPM est bidonné lui aussi...

      Garcimore, a ta place je reformaterais et reinstallerais tout le systeme.

      Peux tu nous dire ce que tu avais comme distrib?
      Depuis quand datent tes dernières mises a jours de sécurité?
      Avais tu un bind ou un sendmail qui tournait?

      Juste pour ma culture personnelle...

      Enfin je te recommande l'utilisation de tripwire pour surveiller toute modification de tes binaires...
      • [^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

        Posté par . Évalué à 1.

        > Sauf si ton binaire RPM est bidonné lui aussi...

        Suffit de le vérifier.
        rpm -V rpm
        Et si t'as pas confiance en ta base de donnée, tu peux vérifier ce qui est installé en utilisant les valeurs du paquet.
        rpm -V -p rpm-4.0.4-28mdk.i586.rpm

        Tu peux aussi vérifier la signature du paquet :
        rpm -K rpm-4.0.4-28mdk.i586.rpm

        Les md5sum sont dispos :
        rpm -q --dump rpm
        ou en mode parano
        rpm -q --dump -p rpm-4.0.4-28mdk.i586.rpm

        Tu peux aussi contrôler le md5sum à la main:
        rpm2cpio rpm-4.0.4-28mdk.i586.rpm | cpio -ivd
        plus md5sum sur les fichiers.

        Et si après tout ça si le craker passe inaperçu, c'est qu'il est très fort.
        • [^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

          Posté par . Évalué à 1.

          >Suffit de le vérifier.
          >rpm -V rpm

          Faut avoir confiance dans ton rpm !!!
          (je sais pas comment ca marche je me suis jamais servit de distrib basés sur rpm)
        • [^] # Sauf que...

          Posté par . Évalué à 2.

          md5sum fait aparemment partie des binaires pipeautés...
          • [^] # Re: Sauf que...

            Posté par . Évalué à 2.

            Il n'est pas d'une difficulté majeur d'installer un nouveau md5sum.

            Je dis ça, c'est pour aider l'aure et lui éviter une nouvelle installation et mieux connaitre ce qui a été attaqué sur son système.

            Je dis ça mais je dis rien. Tout le monde sait qu'une nouvelle installation from scrach est le meilleur remède...
            • [^] # Re: Sauf que...

              Posté par . Évalué à 2.

              Par contre, c'est tout à fait intéressant pour disséquer le système troué par la suite. Histoire de comprendre et de ne pas se retrouver avec le même rootkit dans 3 jours.
  • # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

    Posté par . Évalué à 4.

    Salut la compagnie !

    après une petite sieste de 3 heures, je m'attaque au pb :)

    Reponse en vrac au question : mon sys et une debian Woody, donc je pense reinstaller fileutils et modutils tt simplement.
    Pour le réseau, tt les ports sont ouvert mais comme le dit qq'un au dessus, l'important c'est les deamons qui tournaient. Et la, surprise, j'avais un seti en marche, et une version connue pour etre percée et permettre un acces distant (par contre comment il a fait pour passer root...). Donc c'est de ma faute.

    /me se slap avec des orties.

    j'ai trouvé un petit utilitaire fort sympatique, chkrootkit, qui permet de scanner le sys a la recherche de la trace de rootkit connues.

    voila le log :

    http://garcimore1.free.fr/rootkit_03052003/chkrootkit.log(...)

    il est pas parfait, par exemple il n'a pas remarqué que ps etait inffecté.
    Et il l'est :
    ltrace -e fopen ls
    fopen("/usr/include/file.h", "r") = 0x08052cd8
    /dev/null
    +++ exited (status 0) +++

    pareil avec netstat et ps, ils ouvrent un include peu conventionnel (hosts.h et proc.h). Ces derniers contiennent des liste de fichiers, process et host à masquer par les utilitaires infectés. Je mettrai ces fichier sur ma page web pour info si ca interresse du monde.

    Un truc qui me chagrine, c'est la ligne "Checking `lkm'... You have 79 process hidden for ps command". Pour rappel, un LKM (Linux Kernel Module) qui permet (par exemple) de masquer certain fichier, dissimuler des processus, sniffer...
    C'est quasi impossible a demasquer, mais il existe un outil : kstat qui explore /dev/kmem (www.s0ftpj.org/en/tools.html ). Mais il faut le compiler sur un systeme non infecté.

    Donc je m'en vais analyser tt ça à partir d'une knoppix.

    Avant de partir, un lien bien sympa : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-003/index.html.2.h(...)

    
    
  • # Suite de mes aventures

    Posté par . Évalué à 4.

    Après une bonne aprem d'investigations, j'ai nettoyé ma machine tout en sauvegardant les fichiers du root kit et les dumps des fichiers supprimés. Si ca interresse du monde...

    En epluchant les logs, je suis tombé sur une bonne surprise :
    May  3 21:20:23 mandalay smbd[12594]: connect from xxx.xxx.xxx.xxx

    (j'ai l'ip :)

    Soit une connexion samba sur ma machine moins de 5min avant le debut d'install du rootkit. Je connais la date d'install grace au dates de suppressions des fichiers. Quelle étrange coincidence ! La faille serait donc samba et pas seti. Autre argument en "faveur" de samba, il a modifié /etc/initd.d/samba...

    Je pense que je vais envoyer un mail au responsable de la classe d'adresse, c'est un FAI hollandais pour info.

    Le pirate devait pas être un gourou, mais plutôt un JeanKevin, à cause des trop nombreux indices laissés (uid et gid de fichier "kités" completement bidons, log pas effacé, version des scripts, ...). Mais si ca pouvait lui foutre les boules a JK, j'aurais pas perdu ma journée.

    A+
    • [^] # Re: Suite de mes aventures

      Posté par . Évalué à 1.

      c'est quand meme un peu dangereux de laisser les ports samba ouverts à l'extérieur ??:!!

      Tu devrais te rajouter une regle sur les ports de samba pour n'accepter que les paquets du rsx local (192.168.0.x je penses...)
      • [^] # Re: Suite de mes aventures

        Posté par (page perso) . Évalué à 3.

        Un peu de paranoia serait utile :

        Filtrer les ports en entrée et ne laisser passer que le traffic dont tu as besoin me parait un minimum : Mes logs sont pleins de requetes netbios...
        • [^] # Re: Suite de mes aventures

          Posté par . Évalué à 2.

          moi je suis un peu parano aussi : depuis l'exterieur, en entree, j'ai www , ftp et ssh
          c'est tout :) et je ne laisse rentrer que ce que j'ai explicitement demande de l'interieur. j'accuse pas mal d'attaque nimda sur mon server apache, mais ca le derange pas plus que ca :)

          par contre, de l'interieur, je suis un peu plus permissif (netbios, ircd, counter-strike, quake3)

          je suis en IP fixe depuis debut janvier, jamais eu aucun pb.

          vala. par contre, si kk1 pouvait me dire comment logguer proprement les DROP iptables (cad pour pas avoir des logs qui font 3kms (avec un truc genre last message repeated n times) et pour pas les avoir sur la console)

          merci
          - sam
      • [^] # Re: Suite de mes aventures

        Posté par (page perso) . Évalué à 1.

        plus exactement, n'accepter que les ports venant de 192.168.x.x ET venant du rezo (ethx) et pas exterieur, paske ca se spoofe ca...
    • [^] # Re: Suite de mes aventures

      Posté par (page perso) . Évalué à 1.

      Ton samba était correctement patché ? Il y a un remote root qui est passé il y a pas très longtemps.
  • # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...

    Posté par (page perso) . Évalué à 1.

    N'empêche, c'est inquiétant cette recrudescence de Jean-Kevin. Quand on voit qu'il y a pas mal de machines Unix qui se font craquer en ce moment, on imagine le nombre de machines Windows à la disposition de ces personnes. Après on s'étonne que tel ou tel site subisse un DDoS, mais si ça continue n'importe quel bouffon aura les moyens d'en lancer un.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.