Re: Disparition de logs

[Yann Autissier <yann@autissier.net>]

François TOURDE a écrit :

> Le 12469ième jour après Epoch,
> Yann Autissier écrivait:
>  
>
> > Mon uptime est reparti de 0 au reboot, par contre chkrootkit
> > me renvoie deux lignes intéressantes :
> >
> > # chkrootkit
> > Searching for suspicious files and dirs, it may take a while...
> > /usr/lib/tiger/bin/.bintype
> > Checking `bindshell'... INFECTED (PORTS:  1524 31337)
> >
> > # lsof |grep ":1524"
> > # lsof |grep ":31337"
> > portsentr  1002  root   40u  IPv4       2473                 TCP
> > *:31337 (LISTEN)
> > portsentr  1006  root   30u  IPv4       2547                 UDP
> > *:31337
> >    
>
> Super... Tu as gagné le droit de la réinstaller. Tiger est bien foutu
> comme rootkit. En lui-même il ne fait pas de dégats, mais donne la
> main à des connectés IRC ou SSH si mes souvenirs sont bons.
>
> J'ai eu l'occasion d'enlever Tiger à la main sur une machine qu'il
> était impossible de réinstaller. C'est long mais faisable. Par contre
> je ne me souviens plus du tout ce qu'il a fallu que je fasse.
>
>  
Ok pour la réinstallation, ca va faire plaisir à mon hébergeur.
Je ne pensai pas avoir laissé bcp de portes d'entrées.
Connait-t-on le(s) service(s) au(x)quel(s)  s'attaque  tiger, ou
est-ce que tiger n'est qu'un rootkit qui a été installé après l'intrusion.

> > Je vais essayer de récupérer un max d'info ce week-end, puis je demande
> > la reinstallation Lundi à la première heure...
> >    
>
> A priori tu ne pourras pas récupérer grand chose de l'intrusion, si
> c'est à ça que tu fais allusion. Attention tout de même car Tiger
> installe son propre ssh. Dangereux.
>
>  
Les seules infos auxquelles je tiens à présent, c'est celles de mes 
clients :~!
Après si d'autres infos sur le système peuvent intéresser, je suis prêt 
à les rapatrier,
mais je ne saurai pas en faire gd chose.

> > Existe-t-il de la documentation pour savoir a peu près comment réagir dans
> > ces situations la ?
> >    
>
> Oui, j'ai le souvenir d'avoir lu un protocole de désinfection trouvé
> sur le net, mais j'avoue ne plus me souvenir où. Tu devrais pouvoir
> trouver des liens avec le CERT.
>
> Sinon, je crois que Tiger ne touche pas à 'sum' et 'rsync', du coup
> moi j'avais rsyncé quelques binaires (genre ls, ps, netstat, etc...)
> dans un coin tranquille, et utilisé ceux-ci pour la désinfection.
>
> L'idéal:
>
> 1- Débrancher la machine du net
> 2- Dump du disque (sans le booter bien sûr)
> 3- Réinstall from scratch
> 4- Récupération (à la pince à épiler) des infos depuis le dump
>
>  
Ok c'est noté pour la procédure ...
Maintenant j'avais pas prévu mon aller-retour Marseille/Paris cette semaine.
Je vais surement voir ca avec le service technique de mon hébergeur 
(ikoula).
Ce sera une bonne occasion de tester leur réactivité ;)

> Attention, certains fichiers de config sont modifiés par Tiger,
> notament /etc/inetd.conf, pour relancer ses services, et probablement
> /etc/inittab ou /etc/modu* pour installer le module servant à Hider
> tout un tas de choses.
>
>  
Apparemment pas de traces de ces modifications : inetd ne tourne pas, et 
tous
les services sont désactivés ds /etc/inetd.conf.
Le fichier /etc/inittab parait intact, ainsi que les fichiers de modules.
Mais je ne fais plus trop confiance à mes yeux ces temps ci !

> Bon W-E :)
>  
Merci, de même.

Yann