Re: Securite
> Bonnjour,
> Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
> pas expert en securite j'aimerais avoir votre avis pour savoir si je
> dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
> qu'un long discours:
>
> **auth.log:
> Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for
> user root by (uid=0)
> Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody
> Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user
> nobody by (uid=0)
> Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for
> user root
>
oh le beau rootkit !
> **apache/error.log:
> #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait
> long
> [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/d/winnt/system32/cmd.exe
> [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe
> [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
> [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
> [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/scripts/root.exe
un peu blaireau sur les bords, il a d'abord cru que t'étais sous win NT.
il a donc testé l'exploit classique, garanti script-kiddie
au moins, il t'a laissé une IP (la sienne ? vu ses méthodes, ça ne serait
pas étonnant) : 80.14.89.16 (d'après ton log, il la possédait au moins de
19:32:16 à 22:22:08 le 24/12/2003 , garde ça au cas où, on sait
jamais ... c'est le seul moyen de le retrouver s'il fait des conneries)
> #La partie "interessante"
> [Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received. Doing graceful
> restart
> [Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory:
> mod_mime_magic: can't read magic file /etc/apache/share/magic
> [Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian
> GNU/Linux PHP/4.1.2 configured -- resuming normal operations
> [Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper:
> /usr/lib/apache/suexec)
> [Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default:
> sysvsem)
>
8 h plus tard, il capte que t'es sous linux et t'envoie un exploit pour
apache, que tu devrais d'ailleurs mettre à jour (1.3.26, c'est vraiment
vieux comme version, maintenant ça s'appelle httpd et c'est en version
2.0.?, j'ai oublié). utilises aussi les mises à jour sécurité de debian
(option à activer dans apt-setup ou par édition manuelle
du /etc/apt/sources.list , décommente la ligne correspondante)
> **syslog:
> Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
> fichier syslog.
> #La fin de l'ancien; syslog.0
> Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e
> /usr/sbin/anacron || run-parts --report /etc/cron.daily)
> #Et le debut du nouveau
> Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.
>
il doit avoir l'habitude de cracker du windows, ce qui laisse à penser
que son niveau est assez bas : il redémarre un linux, sans doute pour
appliquer des modifications (!), d'autant plus ridicule qu'il est root
> Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
> mais c'est peut être une erreur de ma part) portant le nom setuid.*
> dont
> voici le contenu:
> #setuid.changes
> homedebian changes to setuid programs and devices:
> --- setuid.today Thu Dec 25 06:27:05 2003
> +++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003
> @@ -0,0 +1,5442 @@
> + 15586 666 1 root root 0 Wed Dec 24 12:41:26
> 2003 /dev/dri/card0
> + 15707 4755 1 root root 14508 Mon Jan 21 21:25:22
> 2002 /sbin/unix_chkpwd
> + 15769 660 1 root root 0 Thu Mar 14 22:54:42
> 2002 /dev/input/mice
> Environ 6000 lignes dans le même type suivent...
> Là c'à m'inquiète parce que mon système a été réinstallé en novembre
> 2003 et ce fichier crée ce matin à 6H27 contient des infos datant de
> 2002.
> Ce fichier est accompagné d'autres du même type: setuid.changes.0,
> setuid.changes.new, setuid.today, setuid.yesterday crées en même temps.
>
ben ouais, il a fait joujou avec le rootkit (c'est le père noël qui lui a
filé le manuel du parfait petit lamer ;-) )
> Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque
> chose de bizarre:
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
> Dec 25 12:38:23 homedebian named[292]: denied query from
> [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
>
ce site propose un échange de films par méthode Bittorrent
d'après mes recherches, le port 32789 sert surtout au TFTP (trivial ftp).
le site dit avoir arrêté le ftp parce qu'il était saturé : apparemment,
le pirate n'a pas fréquenté ce site depuis cet avertissement.
il voulait sûrement utiliser ta connection permanente pour télécharger
les films et ensuite les transférer sur son PC (ou une autre utilisation
qui m'échappe)
> Voilà c'est tout. Si vous avez une idée...
> Je vous souhaite un joyeux noel à tous.
joyeux Noël à toi aussi et à toute ta famille !
> Paul
>
> PS: Woody + Iptables avec apache. Noyau 2.4.22
METS-MOI CA A JOUR ! Je veux que tu changes de version d'apache, que tu
actives l'utilisation des mises à jour de sécurité debian et que, si tu
utilise php et mysql, tu penses à éventuellement les mettre à jour.
si tu n'arrives pas à faire ça, maile moi, j'ai l'ADSL depuis trois jours
donc je regarde souvent mes mails (à ma gueule, tu comprendrais que c'est
vrai ... ;-) )
Reply to:
- Follow-Ups:
- Re: Securite
- From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: Securite
- From: Vincent Bernat <bernat@free.fr>
- Re: Securite
- From: baptiste Mille-Mathias <baptiste.mille-mathias@laposte.net>
- References:
- Securite
- From: "Paulo.debian" <paulo.debian@wanadoo.fr>