Re: propagation de NetBus ?
Le lundi 20 janvier 2003, à 16:45, Pierre Crescenzo écrivait :
> Suite à un problème matériel sur une machine Debian, j'ai cru à un
> piratage et me suis intéressé, pour la première fois, à la sécurité. Une
> fois évacué le problème matériel, qui n'avait finalement rien à voir
> avec un piratage, j'en arrive au constat que ma machine (non sécurisée)
> est infectée par le Cheval de Troie NetBus.
Tu es sûr qu'il s'agit bien de Netbus ?!!
À ma connaissance, il s'agit d'un cheval de troie pour Windows...
Je n'ai pas entendu parler d'un portage sous unix (mais c'est vrai que
le support d'un grand nombre d'architectures est l'un des gros points
forts de Debian ;-).
Tu n'aurais pas plutôt un IDS (portsentry, snort ou autre) qui
tournerait sur ta machine ? Typiquement, ce type de programme ouvre les
ports utilisés par les chevaux de troie connus pour détecter les
tentatives de connection qui y sont faites.
Un "netstat -taupe" (en tant que root) devrait te permettre de voir quel
est le programme qui utilise le port qui te semble suspect, et si une
connection est active ou non.
> Je vais donc la réinstaller, mais avant cela, par curiosité, j'ai lancé
> quelques "nmap" sur des machines de collègues, qui sont, elles,
> protégées par des firewall sévères et ouvrent un très petit nombre de
> ports, a priori un peu plus sûrs que les autres, comme ssh.
Même remarque que ci-dessus, et avant de réinstaller, essaie d'abord
un programme comme chkrootkit ou un antivirus pour désinfecter ta
machine (si besoin est).
> Et, surprise pour mes collègues et moi, quasiment toutes les machines
> testées (sous différentes versions de Windows et/ou Linux) sont
> infectées par NetBus et/ou d'autres Chevaux de Troie.
>
> Donc, avant de nous lancer dans une réinstallation globale a priori
> inefficace, nous voudrions comprendre le mode de contamination de NetBus
> et, si possible, des autres Chevaux de Troie. Passent-il par un port non
> suspecté ? Sniffent-ils le réseau en décryptant les mots de passe
> cryptés ? Corrompent-ils des clients a priori sécurisés (genre ssh) pour
> s'attaquer aux serveurs (sshd) ?
C'est beaucoup plus simple que ça. S'il s'agit bien de Netbus, c'est
tout simplement toi qui l'as installé.
Il ne s'agit pas d'un ver, il est incapable de se répandre tout seul.
> J'en arrive (enfin :-)) à ma question. Connaissez-vous un document qui
> explique le mode de propagation de NetBus ? Où trouver de la
> documentation à ce sujet ? Je parle bien du mode de propagation de
> NetBus et/ou autres Chevaux de Troie précis, pas d'une explication
> générale de ce qui est possible en théorie, ni d'une liste de parades
> possibles.
>
> J'ai pas mal surfé ces derniers jours mais n'ai rien trouvé de
> concluant. J'ai même acheté "Halte aux hackers Linux" chez OEM, pour
> avoir le déplaisir d'y trouver les mêmes banalités générales (mais rien
> de très précis) que ce que j'ai réussi à trouver sur Internet.
Je ne connais pas "Halte aux hackers Linux". Le dernier numéro de Misc
est consacré aux virus. Je te le conseille.
Sinon, une recherche sur Netbus sur sans.org me renvoie :
http://www.sans.org/rr/malicious/netbus21.php
Et sur cert.org, à propos des chevaux de troie en général :
http://www.cert.org/advisories/CA-1999-02.html
Les éditeurs d'antivirus donnent assez souvent des explications
détaillées sur les bestioles :
http://www.sophos.com/virusinfo/
Je ne sais pas si ça répondra aux questions que tu te poses...
Reply to: