Journal XPL exploit sous linux, Quelqu'un connaît?

• # Amha ..

  Posté par Loic Jaquemet le 18 novembre 2005 à 09:29. Évalué à 3.

  

  fait une iso complète de ton système, pour analyse post-incident.
  vérifie les logs
  essaye de corréler les connections du compte et les login ftp/ssh...

  • [^] # Re: Amha ..

    Posté par Mathieu Feulvarc'h le 18 novembre 2005 à 09:34. Évalué à 2.

    

    As-tu un awstat sur ta machine? Car le "piratage" de ma machine était dû à une version d'Awstat ayant une faille de sécurité.
    De même, je regarderais dans les logs d'apache en cherchant le nom du répertoire ou de l'éxécutable histoire de voir.
    De même, regarder si le fichier "History" de l'utilisateur est encore là :)
    
    bonne chasse

  • [^] # Re: Amha ..

    Posté par Frederic Brugmans le 18 novembre 2005 à 09:53. Évalué à 3.

    

    La premiere chose que je ferais, serais de faire un petit "bilan" avec chkrootkit qui te permettra d'avoir une idée sur l'étendue des dégats.

  • [^] # Re: Amha ..

    Posté par Gazel le 18 novembre 2005 à 10:14. Évalué à 2.

    

    Bon je viens de voir que le mec a utilise la technique du dictionnaire pour rentre sur le systeme et comme par hasard le compte en question avait le meme mot de passe que le login...putain d'utilisateur windows.
    
    Un petit whois de l'IP me donne (decidement les etudiants russes ont rien de mieux a faire):
    
    h253.net40.bmstu.ru (195.19.40.253)
    
    195.19.40.0 - 195.19.47.255
    1 - Informatics and Control Systems faculty
    2 - Rocket - Spase Techniques Branch Facutly
    3 - State Research and Development Center
    for Scientific Instrumentation
    4 - Campus network operation center
    
    Igor P Ivanov
    Bauman Moscow State Technical University
    5, 2-nd Baumanskaya str.
    107005 Moscow City
    Russia
    +7 095 2636807
    +7 095 2611378
    ivanov@bmstu.ru
    
    Victor A Grachov
    Bauman Moscow State Technical University
    5, 2-nd Baumanskaya str.
    107005 Moscow City
    Russia
    +7 095 2636702
    grach@bmstu.ru
    
    Viatcheslav A Lokhtourov
    Bauman Moscow State Technical University
    5, 2-nd Baumanskaya str.
    107005 Moscow City
    Russia
    +7 095 2636474
    +7 095 2611378
    val@bmstu.ru

    • [^] # Re: Amha ..

      Posté par lezardbreton le 18 novembre 2005 à 11:42. Évalué à 4.

      

      C'est balot aussi de laisser les utilisateurs avoir le même mot de passe que leur login. C'est quand même la leçon de sécurité numéro 1.

    • [^] # Suggestion

      Posté par Fabien Engels le 19 novembre 2005 à 04:35. Évalué à 2.

      

      Passait un coup de John de temps en temps afin de reperer les comptes avec un mot de pass faiblard, et ensuite contacter le proprio de ce compte.
      
      Bon aprés faut voir si tu as des contraintes et etc ...

    • [^] # Re: Amha ..

      Posté par vincent LECOQ (site web personnel) le 19 novembre 2005 à 19:32. Évalué à 2.

      

      c'est marrant, j'ai justement moi aussi eu a faire avec eux, et pour les meme raisons ...
      mais j'était justement sur la machine a ce moment et le CPU qui tourne a 100% m'a intrigué. j'ai purgé le tout avant qu'ils ne puissent vraiment commencer leur travail.
      un repertoire " " (espace espace) dans /var/tmp contenait un scanneur de mots de passe.
      pour le coup j'ai revu toute la secu de ma machine. c'est pas plus mal en fait

  • [^] # Autre suggestion ...

    Posté par Fabien Engels le 19 novembre 2005 à 04:38. Évalué à 3.

    

    que j'ai oublié de mettre dans mon 1er message, bref ...
    
    Mettre ton /tmp sur une partoche montée avec l'option noexec, ce qui interdit l'excution de tout programme etant localisé sur ce repertoire temporaire. C'est tout con mais ça evites l'execution de pas mal d'exploit/trojan et autres joyeusetés qui rend la vie de l'admin plus palpitante :D
    
    En tout cas si tu connais deja tout ça, ça servira peut etre a d'autres personnes.

• # Plus d'infos

  Posté par Benoît Déchamps (site web personnel) le 18 novembre 2005 à 10:17. Évalué à 2.

  

  Tu as probablement été victime d'une attaque similaire à celle ci :
  http://linuxfr.org/~alis/18871.html
  
  Tu y trouveras des infos intéressantes et des suggestions pour éviter que ça se reproduise.

• # Bah ...

  Posté par Maillequeule le 18 novembre 2005 à 10:20. Évalué à 3.

  

  Il n'y a même pas de question à se poser. Une fois que tu auras trouvé la cause (tu es sûr qu'il n'y avait pas d'outils web sur cette machine ?), il n'y a qu'une chose à faire : formatage et reinstallation.
  
  N'essaie pas de te persuader que tout est redevenu normal, tu as 99% de chances de perdre. Tu n'es plus chez toi.
  
  "Dans le doute, abstiens-toi d'être sûr"
  
  M

  • [^] # Re: Bah ...

    Posté par Gazel le 18 novembre 2005 à 10:47. Évalué à 1.

    

    J'ai trouve la cause, il est rentrer en utilisant la force brute grace a un dictionnaire de username et mot de passe. Un des utilisateur avait un mot de passe a la noix.
    
    Par contre ensuite je suis quasiment sur qu'il n'y as pas eu d'access en root, tous les su et sudo ont echoues dans les logs et tous les fichiers creer sont estampilles avec le nom et numero du compte en question et seulement dans des repertoire a ecriture universelle genre tmp.
    
    Comme le serveur est surveille par Nagios je m'en suis rendu compte presque qu'instantanement donc je pense que personne ne s'est loggue physiquement sur le serveur, uniquement les robots qui essayent toutes les combines pour trouver laquelle va peter.
    
    Mais bon dans de le doute je pense que je vais re-installer.

    • [^] # Re: Bah ...

      Posté par Caeies le 18 novembre 2005 à 11:43. Évalué à 2.

      

      Rien ne vaut un John le ripper qui tourne en tache de fond, et qui envoie un mail aux utilisateurs lorsqu'il a craqué le mot de passe ... effet psychologique garanti :)
      
      http://www.openwall.com/john/
      
      Caeies, qui a déjà rencontré ce type de force brut contre ssh sur le serveur d'un copain ...

    • [^] # Re: Bah ...

      Posté par KiKouN le 18 novembre 2005 à 13:09. Évalué à 1.

      

      Tu as peut-être simplement trouvé un effet d'un hack précédant. Je m'explique:
      Dans un club de sécurité, nous avons utilisé un dépassement de tampon dans le but de changer un mot de passe. Nous pouvions ensuite nous logguer en utilisant ce mot de passe. Le mot de passe utilisé est simplement, un utilisateur un peu béta pourrai même pas remarquer ce changement de mot de passe. Si il y a eu force brute, la manoeuvre aurait alors été de faire croire à une force brute dans le but de cacher la faille (tout comme l'un des dernier virus sur téléphone mobile qui installe un autre virus sur le mobile dans le but de se camoufler un peu) et de pouvoir encore ce connecter par la suite en la répétant.
      
      Toutefois, je ne remets pas en cause ton analyse des différents logs et l'attaque peut se résumer à ce que tu a dit. Mais le conseil de Maillequeule est justifié.

• # Mesures judiciaires ?

  Posté par tiennou_minet le 18 novembre 2005 à 12:30. Évalué à 1.

  

  Une intrusion sur un système est une infraction grave (un délit je pense). Je pense qu'il faudrait que tu gardes toutes les preuves possibles en ta possession et que tu portes plaintes contre X. Si tu ne veux pas aller jusque là, je pense que le minimum dans un premier temps serait de contacter l'Université en question.
  
  Pour ton système, effectivement, sauvegarde tout pour preuves et réinstalle.

  • [^] # Re: Mesures judiciaires ?

    Posté par M le 18 novembre 2005 à 19:25. Évalué à 2.

    

    Pour ton système, effectivement, sauvegarde tout pour preuves et réinstalle.
    Oui surtout si la machine a servit a faire des choses pas tres catholiques, les traces peuvent servir a se disculper.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.