[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re : HS [Intrusion, reconstitution] était Re: Quel kernel ?



Le 26.12.2003 22:36, François Boisson a écrit :
|[intrusion sur ma passerelle, suite]
|
|J'ai plusieurs questions à propos de l'intrusion dont j'ai été
|victime ce
|20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures
|et
|j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon
|anticipé).
|A noter que chkrootkit ne désignait aucun processus mis à part
|bindshell,
|J'ai fait une image des disques / et /usr (mais ai bêtement oublié le
|swap
|ce qui est dommage) juste après avoir fait un iptables bloquant un
|port
|d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur
|les
|deux disques et étudier un peu ce que le gars a fait. Ma première
|question
|est celle ci, l'un des scripts commence par
|
|
|#!/bin/sh
|cl="ESC[0m"
|cyn="ESC[36m"
|wht="ESC[37m"
|...
|puis on voit des commandes du type
|echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
|adress...">/dev/stderr
|
|à ma connaissance, c'est pour faire beau à l'écran (clignotement,
|etc),
|peut on détourner ces commandes?

Il y a eu le CAN-2003-0063 qui signalait qu'on pouvait exploiter une commande esc :
   echo -e '\e]2;s && echo rm -rf *\a' > /tmp/sploit
   echo -e '\e[21t' >> /tmp/sploit
   cat /tmp/sploit

Peut-être est-ce le même genre d'exploit ?

--
		- Jean-Luc

|
|Apparemment le gars s'est déchainé vers 19h: Il a récupéré les
|fichiers
|shadow, passwd, puis a cherché sur la machine successivement des mp3,
|des
|mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers
|czz:
|pour être exact:
|
|...
|echo
|echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz...
|please
|wait (t his can take several minutes)" >/dev/stderr
|echo "Searching for ccz..."
|echo
|...
|
|Que sont ces ccz? D'après Google, ce serait des fichiers de créations
|de
|CD/DVDrom pour des outils Windows, sur une machine Linux, c'est
|idiot!
|Quelqu'un a-t-il une idée?
|
|D'après les traces j'ai vu, le gars a installé SuckIT qui patche
|directement le noyau, et permet de cacher des processus, apparemment
|il
|modifie directement le noyau en mémoire via kmem...
|Ces fameux processus cachés existent tout de même, je veux dire
|qu'une
|commande du type
|
|# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline && echo $i
|"
|pid existant"; done
|
|m'aurait surement fourni TOUS les pids des processus y compris les
|cachés
|je pense. Quelqu'un peut il me confirmer cela?
|
|Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer
|l'environnement, la ligne de commande, etc et identifier plus
|clairement
|le vers.
|
|Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar?
|En
|épluchant les logs, je vois plein de connections wu-ftpd sans
|chargement
|de fichiers correspondant mais venant d'adresses très différentes, le
|gars
|masquait son IP mais dans ce cas, pouvait il avoir les réponses en
|retour
|ou procédait-il à l'aveugle?
|
|Désolé de ce message HS et bonnes fêtes
|
|François Boisson
|
|
|--
|Pensez à lire la FAQ de la liste avant de poser une question :
|http://savannah.nongnu.org/download/debfr-faq/html/
|
|Pensez à rajouter le mot ``spam'' dans vos champs "From" et
|"Reply-To:"
|
|To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
|with a subject of "unsubscribe". Trouble? Contact
|listmaster@lists.debian.org
|
|

Attachment: pgp8mjCrnCI5F.pgp
Description: PGP signature


Reply to: