Salut journal !
Ce matin, ma babasse a un comportement étrange : on dirait que la version de ls a changé car elle le supporte plus les options que j'utilisais avant (--show-control-chars). un petit ls -l /bin/ls me donne un resultat surprenant : l'uid est 31805 et le gid 500, étrange ... hop un 'find /sbin /bin /usr/bin /usr/sbin -gid 500' :
/sbin/ifconfig
/sbin/syslogd
/bin/ls
/bin/login
/bin/ps
/bin/netstat
/usr/bin/md5sum
/usr/bin/find
/usr/bin/top
/usr/bin/pstree
/usr/bin/dir
/usr/bin/slocate
/usr/sbin/lsof
la c'est vraiment suspect !
un petit tour dans les log : a ba non, /var/log/messages est un lien vers /dev/null donc pas de logs. En fait lastlog, messages, wtmp et xferlog pointent tous vers /dev/null avec les autorisations d'accés à 777 :/
Je crois que le doute est plus permis, ya quelqu'un qui est venu me dire bonjour pendant mon absence :)
M'en vais faire du menage la dedans...
Journal J'ai l'impression qu'on est rentré chez moi sans ma permission...
4
mai
2003
# Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Pierre Tramo . Évalué à 4.
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par youri_b . Évalué à 1.
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par ckyl . Évalué à 2.
Cherche aussi dans les fichiers de la nuit a coup de find, le gars est peu etre assez con pour avoir laissé le tgz ou assimilé sur ta machine (sisi ca arrive)
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par ckyl . Évalué à 3.
Par contre si c'est aussi con qu'un gid 500 et des symlinks vers /dev/null t'as ptete pas besoin de reinstaller, faudrait googliser tout ca pour voir si tu peux trouver le kit en question.
Ca peu aussi n'etre qu'une facade pour un truc plus mechant, le bon gros truc bien voyant pour cacher le petit truc discret
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Mathieu Pillard (site web personnel) . Évalué à 4.
la premiere chose a faire, c'est de couper la connexion au net :)
ensuite, essayer de tirer le maximum d'infos tant que la machine est toujours allumee (l'attaquant a ptet laisse des process fantomes derriere lui). Evidemment c'est aps simple vu que tu ne peux avoir confiance en rien :)
Apres, reboot sur un cd rescue ou autre, et regarder attentivement ce qui a ete modifie, et les remplacer... c'est plus dangereux et plus couteux qu'un reformatage complet, mais amon avis tu en apprendras bien plus (ca pourrait meme te mener jusqua la faille qui a permis au mec de rentrer avec un peu de chance)
# Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par youri_b . Évalué à 2.
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Pierre Tramo . Évalué à 4.
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par fantomaxe . Évalué à 4.
# Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Linux_GTI . Évalué à 1.
vérification :
rpm -V -a
remplacement :
rpm -U --replacepkgs something*rpm
pour savoir a quel paquet est rattaché un fichier :
rpm -q -f [fichier]
Tout est dans "man rpm".
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Matho (site web personnel) . Évalué à 2.
Sauf si ton binaire RPM est bidonné lui aussi...
Garcimore, a ta place je reformaterais et reinstallerais tout le systeme.
Peux tu nous dire ce que tu avais comme distrib?
Depuis quand datent tes dernières mises a jours de sécurité?
Avais tu un bind ou un sendmail qui tournait?
Juste pour ma culture personnelle...
Enfin je te recommande l'utilisation de tripwire pour surveiller toute modification de tes binaires...
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Linux_GTI . Évalué à 1.
Suffit de le vérifier.
rpm -V rpm
Et si t'as pas confiance en ta base de donnée, tu peux vérifier ce qui est installé en utilisant les valeurs du paquet.
rpm -V -p rpm-4.0.4-28mdk.i586.rpm
Tu peux aussi vérifier la signature du paquet :
rpm -K rpm-4.0.4-28mdk.i586.rpm
Les md5sum sont dispos :
rpm -q --dump rpm
ou en mode parano
rpm -q --dump -p rpm-4.0.4-28mdk.i586.rpm
Tu peux aussi contrôler le md5sum à la main:
rpm2cpio rpm-4.0.4-28mdk.i586.rpm | cpio -ivd
plus md5sum sur les fichiers.
Et si après tout ça si le craker passe inaperçu, c'est qu'il est très fort.
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par ckyl . Évalué à 1.
>rpm -V rpm
Faut avoir confiance dans ton rpm !!!
(je sais pas comment ca marche je me suis jamais servit de distrib basés sur rpm)
[^] # Sauf que...
Posté par Polaris . Évalué à 2.
[^] # Re: Sauf que...
Posté par Linux_GTI . Évalué à 2.
Je dis ça, c'est pour aider l'aure et lui éviter une nouvelle installation et mieux connaitre ce qui a été attaqué sur son système.
Je dis ça mais je dis rien. Tout le monde sait qu'une nouvelle installation from scrach est le meilleur remède...
[^] # Re: Sauf que...
Posté par Pierre Tramo . Évalué à 2.
# Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par LeMagicien Garcimore . Évalué à 4.
après une petite sieste de 3 heures, je m'attaque au pb :)
Reponse en vrac au question : mon sys et une debian Woody, donc je pense reinstaller fileutils et modutils tt simplement.
Pour le réseau, tt les ports sont ouvert mais comme le dit qq'un au dessus, l'important c'est les deamons qui tournaient. Et la, surprise, j'avais un seti en marche, et une version connue pour etre percée et permettre un acces distant (par contre comment il a fait pour passer root...). Donc c'est de ma faute.
/me se slap avec des orties.
j'ai trouvé un petit utilitaire fort sympatique, chkrootkit, qui permet de scanner le sys a la recherche de la trace de rootkit connues.
voila le log :
http://garcimore1.free.fr/rootkit_03052003/chkrootkit.log(...)
il est pas parfait, par exemple il n'a pas remarqué que ps etait inffecté.
Et il l'est :
fopen("/usr/include/file.h", "r") = 0x08052cd8
/dev/null
+++ exited (status 0) +++
pareil avec netstat et ps, ils ouvrent un include peu conventionnel (hosts.h et proc.h). Ces derniers contiennent des liste de fichiers, process et host à masquer par les utilitaires infectés. Je mettrai ces fichier sur ma page web pour info si ca interresse du monde.
Un truc qui me chagrine, c'est la ligne "Checking `lkm'... You have 79 process hidden for ps command". Pour rappel, un LKM (Linux Kernel Module) qui permet (par exemple) de masquer certain fichier, dissimuler des processus, sniffer...
C'est quasi impossible a demasquer, mais il existe un outil : kstat qui explore /dev/kmem (www.s0ftpj.org/en/tools.html ). Mais il faut le compiler sur un systeme non infecté.
Donc je m'en vais analyser tt ça à partir d'une knoppix.
Avant de partir, un lien bien sympa : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-003/index.html.2.h(...)
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Geo Vah . Évalué à 1.
Cependant, je sais pas si ca sert à grand chose pq le mec qui penetre sur le serveur, ca doit etre le premiere chose qu'il regarde...
donc faudrait le faire en moins grossier...
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par samds . Évalué à -1.
c'est deja une piste possible pour un root-access
et ne dis pas que c'est pas ta faute :)
apres, je dis chapeau pour les recherches, c'est tres interessant ce chkrootkit :)
++
sam
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par LeMagicien Garcimore . Évalué à 1.
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par samds . Évalué à -1.
dsl
ce que je voulais dire, c'etait que c t plus la peine de chercher ...
[^] # Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
La faille ptrace peut etre ? tu avais mis a jour ton noyau ?
(je presume que t'avais pas laisse traine tes mots de passe ou laisse sudo and co faire des betises sans pass...)
# Suite de mes aventures
Posté par LeMagicien Garcimore . Évalué à 4.
En epluchant les logs, je suis tombé sur une bonne surprise :
(j'ai l'ip :)
Soit une connexion samba sur ma machine moins de 5min avant le debut d'install du rootkit. Je connais la date d'install grace au dates de suppressions des fichiers. Quelle étrange coincidence ! La faille serait donc samba et pas seti. Autre argument en "faveur" de samba, il a modifié /etc/initd.d/samba...
Je pense que je vais envoyer un mail au responsable de la classe d'adresse, c'est un FAI hollandais pour info.
Le pirate devait pas être un gourou, mais plutôt un JeanKevin, à cause des trop nombreux indices laissés (uid et gid de fichier "kités" completement bidons, log pas effacé, version des scripts, ...). Mais si ca pouvait lui foutre les boules a JK, j'aurais pas perdu ma journée.
A+
[^] # Re: Suite de mes aventures
Posté par Geo Vah . Évalué à 1.
Tu devrais te rajouter une regle sur les ports de samba pour n'accepter que les paquets du rsx local (192.168.0.x je penses...)
[^] # Re: Suite de mes aventures
Posté par Matho (site web personnel) . Évalué à 3.
Filtrer les ports en entrée et ne laisser passer que le traffic dont tu as besoin me parait un minimum : Mes logs sont pleins de requetes netbios...
[^] # Re: Suite de mes aventures
Posté par samds . Évalué à 2.
c'est tout :) et je ne laisse rentrer que ce que j'ai explicitement demande de l'interieur. j'accuse pas mal d'attaque nimda sur mon server apache, mais ca le derange pas plus que ca :)
par contre, de l'interieur, je suis un peu plus permissif (netbios, ircd, counter-strike, quake3)
je suis en IP fixe depuis debut janvier, jamais eu aucun pb.
vala. par contre, si kk1 pouvait me dire comment logguer proprement les DROP iptables (cad pour pas avoir des logs qui font 3kms (avec un truc genre last message repeated n times) et pour pas les avoir sur la console)
merci
- sam
[^] # Re: Suite de mes aventures
Posté par Mathieu Pillard (site web personnel) . Évalué à 1.
[^] # Re: Suite de mes aventures
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
# Re: J'ai l'impression qu'on est rentré chez moi sans ma permission...
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.