Re: Securite
Bonjour,
Bonjour,
Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:
:)
**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody
Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0)
Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root
regarde les scripts placés dans /etc/cron.daily, il doit y en avoir un qui
cherche à faire un su
**apache/error.log:
#Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long
[Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: /var/www/d/winnt/system32/cmd.exe
[Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/root.exe
tentative d'attaque connu sur un serveur IIS de M$, a part te faire pourrir
tes log, tu ne craints rien de ce coté là
#La partie "interessante"
[Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received. Doing graceful restart
[Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: mod_mime_magic: can't read magic file /etc/apache/share/magic
[Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 configured -- resuming normal operations
[Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec)
[Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)
Rien de léchant ici, a 6h25 le matin il y a cron.daily ou cron.weekly qui se
lance. -> voir dans /etc/crontab et man cron. et dans ces scripts, il doit y
avoir logrotate qui te permet de faire tourner tes logs, pour éviter d'avoir
de trop gros fichier dans /var/log, et à la fin le script relance apache pour
recréer les fichiers de log
pour ce qui est du mod_mime_magic, simplement qu'au redémarrage, il charge les
modules et en chargeant ce module, il a besoin de lire le fichier
/etc/apache/share/magic et il n'y arrive pas.
**syslog:
Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
fichier syslog.
#La fin de l'ancien; syslog.0
Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily)
#Et le debut du nouveau
Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.
cf logrotate pour les log d'apache, il le fait également sur syslog
Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
mais c'est peut être une erreur de ma part) portant le nom setuid.* dont
voici le contenu:
#setuid.changes
homedebian changes to setuid programs and devices:
--- setuid.today Thu Dec 25 06:27:05 2003
+++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003
@@ -0,0 +1,5442 @@
+ 15586 666 1 root root 0 Wed Dec 24 12:41:26 2003 /dev/dri/card0
+ 15707 4755 1 root root 14508 Mon Jan 21 21:25:22 2002 /sbin/unix_chkpwd
+ 15769 660 1 root root 0 Thu Mar 14 22:54:42 2002 /dev/input/mice
Environ 6000 lignes dans le même type suivent...
Là c'à m'inquiète parce que mon système a été réinstallé en novembre
2003 et ce fichier crée ce matin à 6H27 contient des infos datant de
2002.
je ne connais pas trop donc je ne dirais ne donnerai pas d'explication, mais a
priori ce n'est pas inquiétant
Ce fichier est accompagné d'autres du même type: setuid.changes.0,
setuid.changes.new, setuid.today, setuid.yesterday crées en même temps.
Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque
chose de bizarre:
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
problème avec le serveur DNS... un processus local cherche une résolution DNS
sur l'url funkytaz10.myftp.org, mais named refuse. je ne peux pas en dire plus
Voilà c'est tout. Si vous avez une idée...
c'est fait ;)
Je vous souhaite un joyeux noel à tous.
Noyeux Joël à tous également
Paul
Yoann
Reply to:
- References:
- Securite
- From: "Paulo.debian" <paulo.debian@wanadoo.fr>