Le 21.02.2004 15:55, François TOURDE a écrit :
Le 12469ième jour après Epoch, Yann Autissier écrivait:François TOURDE a écrit :C'est quoi "sherpyanisés" ??J'ai trouvé ces paquets sur apt-get.org : deb http://debian.netfarm.it/debian/ woody sherpya deb http://www.backports.org/debian stable allBon. On va dire que c'est un nouveau mot alors.Mon uptime est reparti de 0 au reboot, par contre chkrootkit me renvoie deux lignes intéressantes : # chkrootkit Searching for suspicious files and dirs, it may take a while... /usr/lib/tiger/bin/.bintype Checking `bindshell'... INFECTED (PORTS: 1524 31337) # lsof |grep ":1524" # lsof |grep ":31337" portsentr 1002 root 40u IPv4 2473 TCP *:31337 (LISTEN) portsentr 1006 root 30u IPv4 2547 UDP *:31337Super... Tu as gagné le droit de la réinstaller. Tiger est bien foutu comme rootkit. En lui-même il ne fait pas de dégats, mais donne la main à des connectés IRC ou SSH si mes souvenirs sont bons.
Tiger, c'est le rootkit ou c'est lui qui a lancé chkrootkit pour justement vérifier l'intégrité du système ? /usr/lib/tiger appartient au package tiger mais pas au rootkit du même nom ...
-- - Jean-Luc
J'ai eu l'occasion d'enlever Tiger à la main sur une machine qu'il était impossible de réinstaller. C'est long mais faisable. Par contre je ne me souviens plus du tout ce qu'il a fallu que je fasse.Je vais essayer de récupérer un max d'info ce week-end, puis jedemandela reinstallation Lundi à la première heure...A priori tu ne pourras pas récupérer grand chose de l'intrusion, si c'est à ça que tu fais allusion. Attention tout de même car Tiger installe son propre ssh. Dangereux.Existe-t-il de la documentation pour savoir a peu près comment réagirdansces situations la ?Oui, j'ai le souvenir d'avoir lu un protocole de désinfection trouvé sur le net, mais j'avoue ne plus me souvenir où. Tu devrais pouvoir trouver des liens avec le CERT. Sinon, je crois que Tiger ne touche pas à 'sum' et 'rsync', du coup moi j'avais rsyncé quelques binaires (genre ls, ps, netstat, etc...) dans un coin tranquille, et utilisé ceux-ci pour la désinfection. L'idéal: 1- Débrancher la machine du net 2- Dump du disque (sans le booter bien sûr) 3- Réinstall from scratch 4- Récupération (à la pince à épiler) des infos depuis le dump Attention, certains fichiers de config sont modifiés par Tiger, notament /etc/inetd.conf, pour relancer ses services, et probablement /etc/inittab ou /etc/modu* pour installer le module servant à Hider tout un tas de choses. Bon W-E :)
Attachment:
pgpKQxSimgHwS.pgp
Description: PGP signature