HS [Intrusion, reconstitution] était Re: Quel kernel ?

To: no-spam@tootai.net
Cc: debian-user-french@lists.debian.org
Subject: HS [Intrusion, reconstitution] était Re: Quel kernel ?
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Fri, 26 Dec 2003 22:36:48 +0100
Message-id: <[🔎] 20031226223648.329f895c.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 3FE6DF4F.7040402@tootai.net>
References: <[🔎] 200312202118.25011.phil-deb-anti-spam.merlin@laposte.net> <[🔎] 20031221230429.079c90c5.user.anti-spam@maison.homelinux.net> <[🔎] 3FE6DF4F.7040402@tootai.net>

[intrusion sur ma passerelle, suite]

J'ai plusieurs questions à propos de l'intrusion dont j'ai été victime ce
20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures et
j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon anticipé).
A noter que chkrootkit ne désignait aucun processus mis à part bindshell, 
J'ai fait une image des disques / et /usr (mais ai bêtement oublié le swap
ce qui est dommage) juste après avoir fait un iptables bloquant un port
d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur les
deux disques et étudier un peu ce que le gars a fait. Ma première question
est celle ci, l'un des scripts commence par


#!/bin/sh
cl="ESC[0m"
cyn="ESC[36m"
wht="ESC[37m"
...
puis on voit des commandes du type
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
adress...">/dev/stderr

à ma connaissance, c'est pour faire beau à l'écran (clignotement, etc),
peut on détourner ces commandes?

Apparemment le gars s'est déchainé vers 19h: Il a récupéré les fichiers
shadow, passwd, puis a cherché sur la machine successivement des mp3, des
mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers czz:
pour être exact:

...
echo
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... please
wait (t his can take several minutes)" >/dev/stderr
echo "Searching for ccz..."
echo
...

Que sont ces ccz? D'après Google, ce serait des fichiers de créations de
CD/DVDrom pour des outils Windows, sur une machine Linux, c'est idiot!
Quelqu'un a-t-il une idée?

D'après les traces j'ai vu, le gars a installé SuckIT qui patche
directement le noyau, et permet de cacher des processus, apparemment il
modifie directement le noyau en mémoire via kmem...
Ces fameux processus cachés existent tout de même, je veux dire qu'une
commande du type

# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline &&  echo $i "
pid existant"; done

m'aurait surement fourni TOUS les pids des processus y compris les cachés
je pense. Quelqu'un peut il me confirmer cela?

Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer
l'environnement, la ligne de commande, etc et identifier plus clairement
le vers.

Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? En
épluchant les logs, je vois plein de connections wu-ftpd sans chargement
de fichiers correspondant mais venant d'adresses très différentes, le gars
masquait son IP mais dans ce cas, pouvait il avoir les réponses en retour
ou procédait-il à l'aveugle?

Désolé de ce message HS et bonnes fêtes

François Boisson

Reply to:

Follow-Ups:
- Re : HS [Intrusion, reconstitution] était Re: Quel kernel ?
  - From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>
- Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
  - From: daniel huhardeaux <no-spam@tootai.net>

References:
- Quel kernel ?
  - From: Philippe Merlin <phil-deb-anti-spam.merlin@laposte.net>
- Re: Quel kernel ?
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: Quel kernel ?
  - From: daniel huhardeaux <no-spam@tootai.net>

Prev by Date: erreur à la compilation
Next by Date: CUPS et KDE
Previous by thread: Re: Machine infectée [était Quel kernel ?]
Next by thread: Re : HS [Intrusion, reconstitution] était Re: Quel kernel ?
Index(es):
- Date
- Thread