Re: Disparition de logs

To: debian-user-french@lists.debian.org
Subject: Re: Disparition de logs
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Sat, 21 Feb 2004 15:55:41 +0100
Message-id: <[🔎] 87brnsscr6.fsf@fermat.localhost>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 403757A1.3050103@autissier.net> (Yann Autissier's message of "Sat, 21 Feb 2004 14:05:37 +0100")
References: <[🔎] 40365A7A.7080807@autissier.net> <[🔎] 87eksp1mut.fsf@fermat.localhost> <[🔎] 403757A1.3050103@autissier.net>

Le 12469ième jour après Epoch,
Yann Autissier écrivait:

> François TOURDE a écrit :
>>C'est quoi "sherpyanisés" ??
>>
> J'ai trouvé ces paquets sur apt-get.org :
>
> deb http://debian.netfarm.it/debian/ woody sherpya
> deb http://www.backports.org/debian stable all

Bon. On va dire que c'est un nouveau mot alors.

> Mon uptime est reparti de 0 au reboot, par contre chkrootkit
> me renvoie deux lignes intéressantes :
>
> # chkrootkit
> Searching for suspicious files and dirs, it may take a while...
> /usr/lib/tiger/bin/.bintype
> Checking `bindshell'... INFECTED (PORTS:  1524 31337)
>
> # lsof |grep ":1524"
> # lsof |grep ":31337"
> portsentr  1002  root   40u  IPv4       2473                 TCP
> *:31337 (LISTEN)
> portsentr  1006  root   30u  IPv4       2547                 UDP
> *:31337

Super... Tu as gagné le droit de la réinstaller. Tiger est bien foutu
comme rootkit. En lui-même il ne fait pas de dégats, mais donne la
main à des connectés IRC ou SSH si mes souvenirs sont bons.

J'ai eu l'occasion d'enlever Tiger à la main sur une machine qu'il
était impossible de réinstaller. C'est long mais faisable. Par contre
je ne me souviens plus du tout ce qu'il a fallu que je fasse.

> Je vais essayer de récupérer un max d'info ce week-end, puis je demande
> la reinstallation Lundi à la première heure...

A priori tu ne pourras pas récupérer grand chose de l'intrusion, si
c'est à ça que tu fais allusion. Attention tout de même car Tiger
installe son propre ssh. Dangereux.

> Existe-t-il de la documentation pour savoir a peu près comment réagir dans
> ces situations la ?

Oui, j'ai le souvenir d'avoir lu un protocole de désinfection trouvé
sur le net, mais j'avoue ne plus me souvenir où. Tu devrais pouvoir
trouver des liens avec le CERT.

Sinon, je crois que Tiger ne touche pas à 'sum' et 'rsync', du coup
moi j'avais rsyncé quelques binaires (genre ls, ps, netstat, etc...)
dans un coin tranquille, et utilisé ceux-ci pour la désinfection.

L'idéal:

1- Débrancher la machine du net
2- Dump du disque (sans le booter bien sûr)
3- Réinstall from scratch
4- Récupération (à la pince à épiler) des infos depuis le dump

Attention, certains fichiers de config sont modifiés par Tiger,
notament /etc/inetd.conf, pour relancer ses services, et probablement
/etc/inittab ou /etc/modu* pour installer le module servant à Hider
tout un tas de choses.

Bon W-E :)

-- 
Let's say the docs present a simplified view of reality...    :-)
             -- Larry Wall in  <6940@jpl-devvax.JPL.NASA.GOV>

Reply to:

Follow-Ups:
- Re : Disparition de logs
  - From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>
- Re: Disparition de logs
  - From: Yann Autissier <yann@autissier.net>

References:
- Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re: Disparition de logs
  - From: Yann Autissier <yann@autissier.net>

Prev by Date: Re: serveur linux + attaqué que windows ?
Next by Date: Re : Disparition de logs
Previous by thread: Re: Disparition de logs
Next by thread: Re : Disparition de logs
Index(es):
- Date
- Thread