Journal Détection de rootkit

• # chkrootkit et knoppix STD

  Posté par sylvainf_ le 01 octobre 2007 à 17:17. Évalué à 10.

  

  Salut,
  
  Tu peux essayer de booter sur une knoppix std (http://www.s-t-d.org/tools.html), cette distribution inclue plein d'outils de sécurité. Ensuite tu peux utilisez chkrootkit qui est un bon détecteur de rootkit.
  Mieux vaut monter la partition en ro ou fait un dd de la partition avant le chkrootkit pour ne pas perturber une éventuelle analyse 'forensics' par la suite.

• # chkrootkit

  Posté par finss (site web personnel) le 01 octobre 2007 à 17:20. Évalué à 3.

  

  plus simple qu'une distrib : chkrootkit. Tu le charges là : http://www.chkrootkit.org/ (ou sur un des miroirs) tu le dézippes dans un répertoire et tu lances la commande chkrootkit en tant que root. Il examine ton système et te dit si tu es rootkité ou pas.

  \_o<

  • [^] # Re: chkrootkit

    Posté par Frédéric COIFFIER le 01 octobre 2007 à 18:27. Évalué à 2.

    

    En fait, qu'est ce qui différencie chkrootkit de rkhunter ?

    • [^] # Re: chkrootkit

      Posté par finss (site web personnel) le 01 octobre 2007 à 19:18. Évalué à 2.

      

      D'après un des dev, "Rootkit Hunter propose à peu près les mêmes fonctionalités que chkrootkit mais avec des choses en plus." ( http://frlinux.net/?section=securite&article=53 ) Donc on peut utiliser les deux l'un après l'autre, ce qui permet de chercher plus de "malwares".

      \_o<

  • [^] # Re: chkrootkit

    Posté par Aldoo le 01 octobre 2007 à 21:03. Évalué à 7.

    

    Euh... c'est moi où les rootkits ce n'est plus ce que c'était ?
    Non, parce que, même connecté en root, si ton système est vraiment compromis, je ne vois pas comment un outil tournant par dessus pourrait être certain de quoi que ce soit !
    Ou bien je me trompe et il existe une magie permettant de faire cela ?

    • [^] # Re: chkrootkit

      Posté par Anonyme le 01 octobre 2007 à 22:58. Évalué à 2.

      

      oui, chkrootkit est compilé en static, dans l'archive tu as les sources et un binaire qui ne depends pas (trop ?) de ton envirronement.
      
      ceci dit vaut mieux un live cd quand meme

      • [^] # Re: chkrootkit

        Posté par Aldoo le 01 octobre 2007 à 23:49. Évalué à 10.

        

        Même en statique, il serait étonnant que le binaire ne fasse pas appel aux fonctions du noyau, tout de même...
        Or, sauf erreur, ça devrait déjà être suffisant pour le tromper.

• # Share and enjoy

  Posté par Rémi Pannequin le 01 octobre 2007 à 17:58. Évalué à 5.

  

  D'où te viennent ces soupçons ? M'enfin, c'est juste histoire d'alimenter un peu ma paranoïa...

  • [^] # Re: Share and enjoy

    Posté par BAud (site web personnel) le 01 octobre 2007 à 19:41. Évalué à 3.

    

    Ne t'inquiète pas tant que ça - quand bien même tu ne serais pas parano - ça ne veut pas dire qu'ils ne sont pas déjà après toi :D

    • [^] # Re: Share and enjoy

      Posté par Rémi Pannequin le 01 octobre 2007 à 21:17. Évalué à 3.

      

      Je vois... « Même les paranoïaques ont des ennemis »

  • [^] # Re: Share and enjoy

    Posté par qdm le 01 octobre 2007 à 21:58. Évalué à 4.

    

    Station de travail qui ne tourne normalement avec aucun service vers l'extérieur. Je travaillais dessus quand le détecteur de processus fous de KDE m'a dit que netstat consommait trop de CPU. Bien sûr, je n'utilisais pas netstat à ce moment là. J'ai éteint la machine et je vais commencer l'autopsie demain.

    • [^] # Re: Share and enjoy

      Posté par David le 01 octobre 2007 à 22:09. Évalué à 2.

      

      c'est quoi ce detecteur de processus fou? Il faut activer une option?

      • [^] # Re: Share and enjoy

        Posté par Styo le 02 octobre 2007 à 08:26. Évalué à 2.

        

        clic droit sur la barre des taches KDE, puis le menu "ajouter une applet au tableau de bord".

    • [^] # Re: Share and enjoy

      Posté par Benoît Ganne (site web personnel) le 02 octobre 2007 à 10:11. Évalué à 2.

      

      Si tu utilisais FF ou Seamonkey ou un de ses avatars, c'est peut-être normal, ils utilisent netstat pour récupérer dieu sait quelle info et ils laissent trainer des zombies dans tous les coins (les cochons !).

      • [^] # Re: Share and enjoy

        Posté par qdm le 02 octobre 2007 à 13:17. Évalué à 2.

        

        Ohh... T'aurais un pointeur vers ce comportement ? Parce que bon, dans l'hypothèse où j'aurais été rootkité, ça m'étonnait franchement qu'un programme aussi trivial que le détecteur de processus fous (qui doit juste être une surcouche de top ou d'un truc de ce style) le détecte.

        • [^] # Re: Share and enjoy

          Posté par qdm le 02 octobre 2007 à 13:30. Évalué à 2.

          

          Bon à en croire le changelog d'Iceweasel (http://packages.debian.org/changelogs/pool/main/i/iceweasel/(...) ), toute trace d'utilisation de netstat devrait avoir disparu d'Iceweasel. Mais vu comment il semble avoir été retors, la bonne nouvelle c'est qu'il pourrait encore survivre dans un coin du binaire.
          
          Mais bon, comme il est officiellement mort, l'hypothèse du rootkit tient toujours la route...
          
          Problème (ou bonheur), mes tests de rootkit sur la bécane n'ont pour l'instant rien révélé d'anormal. Peut être s'orienter vers un script qui loggerait au cas où le processus firefox-bin appellerait netstat....

          • [^] # Re: Share and enjoy

            Posté par FRLinux (site web personnel) le 02 octobre 2007 à 14:32. Évalué à 1.

            

            > Peut être s'orienter vers un script qui loggerait
            
            Ou alors utiliser SELinux (que tu peux parametrer avec Debian Etch, sarge dispo mais plus de manips) pour logger ce qu'il se passe. La page qui va bien : http://wiki.debian.org/SELinux/Setup

            • [^] # Re: Share and enjoy

              Posté par FRLinux (site web personnel) le 02 octobre 2007 à 14:34. Évalué à 2.

              

              Sinon si tu compiles ton petit noyau avec amour, tu peux aussi ajouter GRSEC (http://grsecurity.net) que j'ai tendance a utiliser pour des serveurs exposes.
              
              Le projet est actif mais avec un peu de retard sur les patches. Faut dire que le mec est tout seul.

              • [^] # Re: Share and enjoy

                Posté par Fabien le 03 octobre 2007 à 22:31. Évalué à 1.

                

                grsecurity-2.1.11-2.6.22.9-200709280630.patch September 28 2007 17:57:54
                
                kernel 2.6.22.9 2007-09-26 18:10 UTC
                kernel 2.6.23-rc9-git1 2007-10-02 19:01 UTC
                
                pas si en retard que ça.
                
                Je recommande aussi ce projet

• # Security LiveCD

  Posté par Jean-François Martin le 01 octobre 2007 à 18:25. Évalué à 3.

  

  Security Live CD est un live-cd orienté sécurité, c'est un dérivé de la Fedora 7.
  http://fedoraproject.org/wiki/LukeMacken/SecurityLiveCD

• # les trucs classiques

  Posté par Benjamin (site web personnel) le 01 octobre 2007 à 19:04. Évalué à 10.

  

  - regarder last, lastb, ~/.bash_history etc.
  - chercher des process modifiés (ps modifié, netstat modifié, strings modifié et c.)
  - chercher des process invisibles (comparaison de ps avec /proc/)
  - chercher des dossier ".." ou ". " ou " ." ou "..." etc ( genre find / -type d -name ".*" )
  - vérifier que lsmod ne liste pas de module suspect
  - passer chkrootkit sur la machine vérolée ... parfois ca marche
  - passer chkrootkit & autres détecteurs sur un live cd...

• # Une seule solution

  Posté par Uld (site web personnel) le 01 octobre 2007 à 19:17. Évalué à 3.

  

  Doutes de compromission? Réinstallation!

  • [^] # Re: Une seule solution

    Posté par Thierry Thomas (site web personnel, Mastodon) le 01 octobre 2007 à 19:25. Évalué à 10.

    

    > Doutes de compromission? Réinstallation!
    
    Inutile si c'est pour réinstaller à l'identique et permettre que ça recommence...
    
    Il est indispensable d'essayer de comprendre d'où provient cette éventuelle intrusion, et quelles conséquences elle aurait pu avoir (par ex. sur les autres machines du réseau local).
    
    Et n'oubliez pas : compromis, chose due !

• # Heuu...

  Posté par Snarky le 01 octobre 2007 à 21:01. Évalué à 10.

  

  Pourquoi mettre ça en première page ??
  Le forum aurai très bien été. Et, au pire, la seconde pas, si tu voulais une réponse rapide.
  
  Mais certainement pas en première page. La prochaine fois, fait une dépêche :p

• # Tu es mal...

  Posté par kowalsky le 01 octobre 2007 à 22:04. Évalué à 9.

  

  Parce que dans le dernier Misc, je crois, ça parle de nouveau rootkit.
  
  Des rootkits qui installe ta machine dans une machine virtuelle.
  Bref, tu es dans ta machine, et tu ne peux pas voir ce qu'il se passe
  autour de toi .
  
  Il y bien des solutions, vérifier les adresses mémoires retourné
  pour certaines adresse connue et courante, mais bon, les
  méchants rootkit peuvent te répondre ce que tu veux entendre !
  
  Tu peux verifier la place qu'il te reste exactement sur ton disque, etc...
  Mais encore une fois, le mechant rootkit qui dirige ta machine
  te repond ce que tu veux entendre !
  
  
  En fait, le seul moyen d'etre sur de la presence ou pas d'un rootkit,
  c'est d'installer Windows et d'ecouter un CD de musique de chez
  SonyMusic. La tu sera sur d'avoir un rootkit :)

  • [^] # Re: Tu es mal...

    Posté par kowalsky le 01 octobre 2007 à 22:08. Évalué à -1.

    

    Ah vi, et apparemment, même les liveCD ne sont pas épargné.

  • [^] # Re: Tu es mal...

    Posté par Aldoo le 01 octobre 2007 à 22:12. Évalué à 6.

    

    SonyMusic sapusépalibre. En plus, y a pas de version pour gnoulinusque !
    Installons plutôt un vrai GNU-Rootkit libre et multiplateforme... pourquoi pas emacs ?
    (ça te prend de la mémoire, ça te fait croire que tu es dans un OS, alors qu'il y a tout un système qui tourne autour... non vraiment, y a pas photo !)

    • [^] # Re: Tu es mal...

      Posté par kowalsky le 01 octobre 2007 à 22:20. Évalué à 1.

      

      http://securite.reseaux-telecoms.net/actualites/lire-sony-mu(...)
      
      Voici pourquoi je parlais de SonyMusic :)

  • [^] # Re: Tu es mal...

    Posté par pasBill pasGates le 02 octobre 2007 à 02:08. Évalué à 7.

    

    En fait il y a un(des) moyen de detecter des VM rootkit : noter le nombre de cycles que mettent certaines instructions pour s'executer(une VM doit intercepter certaines instructions et les traiter specialement, et ca rajoute un tas de cycles) et comparer avec ce qui devrait etre le cas sans VM.
    
    Bien sur un VM rootkit peut essayer de deviner si c'est ce que tu es en train de faire, mais en codant ton truc bien comme il faut (pas un simple loop qui prend la valeur x fois), tu y arrives sans probleme.

  • [^] # Re: Tu es mal...

    Posté par Misc (site web personnel) le 02 octobre 2007 à 08:59. Évalué à 4.

    

    Mais non, il doit installer Oracle Matrix Edition, et ensuite, il va réussir à trouver Neo si il s'habille avec une combi en latex moulante.

  • [^] # Re: Tu es mal...

    Posté par RedIsDead le 02 octobre 2007 à 12:29. Évalué à 4.

    

    L'article de MISC est sympa, fait peur, toussa.
    Mais bon d'après ce que j'ai compris pour l'instant ces rootkit new gen restent à un stade très expérimental.
    
    De plus si ton cpu n'a pas de capacité de virtualisation, ça veut dire que ton os rootkité tourne dans une vm logicielle et là c'est plus facile à tester.

  • [^] # Re: Tu es mal...

    Posté par Thomas Douillard le 04 octobre 2007 à 18:48. Évalué à 4.

    

    En fait le rootkit ultime c'est la matrice, un peu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.