Journal historique vide

Posté par  .
Étiquettes : aucune
0
1
juin
2004
Heu, ça vous inquiéterait de trouver le .bash_history de l'utilisateur root vide ?
Sur le coup j'ai un peu paniqué, j'ai éteint le modem, suis partit à la recherche d'autre anormalité, sans succès !
Déjà, il ne pointe pas sur /dev/null, c'est déjà ça, et il se remplit à nouveau.
Ca fout quand même les jetons :(

  • # bash sapu

    Posté par  (site web personnel) . Évalué à -1.

    Mon root il utilise tcsh, comme tous les bons utilisateurs.

  • # Bob ben la suite :

    Posté par  . Évalué à 4.

    Premiere chose a faire dans ces cas la : la chasse au root kit,
    Hors mode reseau faire une recherche sur tous les utilitaires standards (*sh, grep, find, gcc etc..) si il y en a a des endroits bizarres se poser des questions.

    Ensuite calmement relire les fichiers /etc/*.conf et consors, pour voir si il y a pas des trucs bizarres. Faire tres attentions aux inits et a xinetd.

    Ensuit epour les paranoiaques aigus : avec un cable croise brancher son PC sur un autre (considere comme sain) en mode 1-1 et faire un scan des ports. Si ca repond la ou il ne faut pas, ou si le log ne se remplit pas bien, se poser des questions.

    Finalement telecharger toutes les mises a jour et si possible deployer.

    Tous les outils d'audit, honeypots et autres loggeurs doivent etre reinstalles au moindre doute (ce sont de tres bon endroits pour exploiter des failles ou rajouter des backdoors)

    Pour finir se demander si il y a pas une commande type CTRL+"touche" qui efface l'historique....

    Pour finir, je sais que c'est long et casse pied mais lancer tous les serveurs en chroot, avec un utilisateur dedie sans aucun pouvoir en dehors du jail c'est la solution qui gene le plus les mechants pirates.
    Les plus hardis (ou les plus paranos) peuvent tenter un cocktail ACL+SELinux+ChrootJail avec en plus un peu de virtualisation pour blinder a fond (le chroot et les donnees sont en fait des disques reseaux montes via NFS ou SAMBA, ou un bon choix de VFS) ca rajoute une couche quasi infranchissable pour le forcage de droits.

    Kha

  • # quelques tests

    Posté par  . Évalué à 2.

    regarde les entrées / heures de login de l'user root dans le syslog.
    passe ton systeme avec un coup de chkrootik.
    vérifie l'intégrité des binaires du système (top, ls, ps..) avec une source sûre.
    sinon t'as peut etre fait un > ~./.bash_history par erreur (-:

  • # Distrib RPM?

    Posté par  . Évalué à 1.

    Si tu utilises une distribution à base de RPM, tu peux faire un rpm -V [nom du paquet], ça compare les checksums des fichiers contenus dans le paquet avec ceux des fichiers installés. Je suppose qu'il existe le même type de commande sous Debian. Si tu trouves des exécutables modifiés (comme dit précédemment, top, ls, gcc, etc.) alors là il faut t'inquiéter.

  • # Mon avis:

    Posté par  . Évalué à 3.

    En effet, je trouve cela assez inquiétant.
    Il y a du bon dans les commentaires ci dessus, mais je vais qd même te donner mon avis.
    Donc si tu t'es fait comme tu le penses rooter et par un mec malin, ton système te semblera tout à fait normal (logs nettoyés, binaires remplacés, sshd backdoorés, appels systèmes hooké pr cacher certaines choses, ....).
    Donc, je trouve que le conseil au dessus est assez pertinent: dans un premier temps, débranche et scanne les ports.

    Essayes les lsmod, pstree, netstat -l , et consors.
    Inutile de préciser qu'il faut examiner avec soin la sortie de toutes ces commandes. Essayes dans la mesure du possible de comparer la sortie de ces programmes aux entrées du /proc pour voir si cela concorde.

    Ensuite, si tout te semble normal, tente le md5sum des binaires délicats du système: ls, lsmod, netstat, ps, etc... puis compare avec une distrib identique et sûre. Encore une fois, n'accorde pas une confiance absolue à md5sum.

    Si tu rencontres un comportement étrange lors de l'execution d'une des commandes de bases citées plus haut, alors tu peux être presque sur que il y a un hic.

    Pense aussi aux utilitaires tels que strace et strings pour jeter un oeil au binaire. N'oublies pas de scruter les répertoires sensibles ( /tmp, ~root, /var/www) à la recherche des fichiers ayant servis à l'exploitation d'une eventuelle faille.

    Si après tout ça tout te semble ok mais que tu veux avoir le coeur net, alors boot ta machines sur un livecd (Gentoo, etc...), et reexamine ton disque ainsi que tes binaires à coup de md5sum etc...

    En espèrant t'avoir donné un coup de main, bon courage.
    Dernière chose, si tu t'es vraiment fait rooté, mieux vaux repartir de 0 pour ta machine. Se débarrasser de toutes le cochonneries qu'aurait mis un type vraiment compétent est quasi utopique....

  • # Merci...

    Posté par  . Évalué à 2.

    ...pour vos réponses. Le temps que j'applique vos conseils, je vais limiter mon accès au web. Pour l'instant, pas de traces suspectes.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.