[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?



J'ai modifie le sujet car cela se rapproche d'une discussion de cette semaine concernant la securite (lien en bas de page)

François Boisson wrote:

[intrusion sur ma passerelle, suite]

J'ai plusieurs questions à propos de l'intrusion dont j'ai été victime ce
20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures et
j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon anticipé).
A noter que chkrootkit ne désignait aucun processus mis à part bindshell, J'ai fait une image des disques / et /usr (mais ai bêtement oublié le swap
ce qui est dommage) juste après avoir fait un iptables bloquant un port
d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur les
deux disques et étudier un peu ce que le gars a fait. Ma première question
est celle ci, l'un des scripts commence par


#!/bin/sh
cl="ESC[0m"
cyn="ESC[36m"
wht="ESC[37m"
...
puis on voit des commandes du type
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
adress...">/dev/stderr

à ma connaissance, c'est pour faire beau à l'écran (clignotement, etc),
peut on détourner ces commandes?
Je penserai la meme chose, mais à la lecture de ce que Jean-Luc a note ...

Apparemment le gars s'est déchainé vers 19h: Il a récupéré les fichiers
shadow, passwd, puis a cherché sur la machine successivement des mp3, des
mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers czz:
pour être exact:

...
echo
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... please
wait (t his can take several minutes)" >/dev/stderr
echo "Searching for ccz..."
echo
...

Que sont ces ccz? D'après Google, ce serait des fichiers de créations de
CD/DVDrom pour des outils Windows, sur une machine Linux, c'est idiot!
Quelqu'un a-t-il une idée?
Hmmh. Lorsque l'on regarde d'ou vient suckIT, c'est de tchéchoslovaquie (cz) Les gars ayant développés le produit signent cdi cz Extrait du README

++++++++++++++++++  SucKIT README File  ++++++++++++++++++++++++++++++++
 SucKIT v1.3b, (c) 2002 by sd <sd cdi cz> & devik <devik cdi cz>
 +-------------------------------------------------------------+

Et de ce que j'ai lu, c'est pas *vraiment* fait pour des MP3 ou autres fichiers audio

D'après les traces j'ai vu, le gars a installé SuckIT qui patche
directement le noyau, et permet de cacher des processus, apparemment il
modifie directement le noyau en mémoire via kmem...
Ces fameux processus cachés existent tout de même, je veux dire qu'une
commande du type

# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline &&  echo $i "
pid existant"; done

m'aurait surement fourni TOUS les pids des processus y compris les cachés
je pense. Quelqu'un peut il me confirmer cela?
Cela ressemble a (trouve dans un thread sur ce probleme sur linuxQuestions.org

Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat $i/cmdline; echo $i | grep -e "sk"); done This will return the PID for sk, change to that dir and grep environ -e "pwd". This returns the rootkits dir (/usr/share/locale/ro_US ?).
4. Uninstall rootkit: cd to that dir, and execute "./sk -u" to uninstall.

Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer
l'environnement, la ligne de commande, etc et identifier plus clairement
le vers.
Peut etre, mais il m'a l'air asser violent. Dans mes lectures, j'ai vu qu'un module nomme StMichael lui resistait. Tu peux peut etre aller voir de ce cote la.

Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? En
épluchant les logs, je vois plein de connections wu-ftpd sans chargement
de fichiers correspondant mais venant d'adresses très différentes, le gars
masquait son IP mais dans ce cas, pouvait il avoir les réponses en retour
ou procédait-il à l'aveugle?
Comme il semble que ce kit permette d'ouvrir des terminaux sur *n'importe quel* port, il va peut etre falloir faire des recoupements adresse/port. Maintenant, si c'est ta machine qui ouvre la connexion apres l'infection, peut etre tu trouveras plus rapidement, en imaginant que les connexions wu-ftpd soient des leurres.

Désolé de ce message HS et bonnes fêtes
Bonne fêtes a toi aussi

François Boisson
Tres interessant a lire (anglais)

http://www.redhat.com/archives/enigma-list/2002-October/msg00442.html

--
:  ______ ______ ______ ______ ______ __  daniel.huhardeaux@tootai.com
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546




Reply to: