Re: Intrusion shellbot

To: debian-user-french@lists.debian.org
Subject: Re: Intrusion shellbot
From: Francois Boisson <user.anti-spam@maison.homelinux.net>
Date: Mon, 11 Jul 2005 19:17:19 +0200
Message-id: <[🔎] 20050711191719.2754a163.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 42D28F3F.6010009@home.snoopyouaib.com>
References: <[🔎] 42D28F3F.6010009@home.snoopyouaib.com>

Le Mon, 11 Jul 2005 17:24:47 +0200
snoopy <snoopy@home.snoopyouaib.com> a écrit:

> Bonjour,
> 
> Un petit malin a réussi à installer cette chose sur un serveur Debian 
> Sarge qui me sert à effectuer des tests à la maison, cette machine est
> placé derrière un IPCop 1.4.6 mais sans DMZ.
> Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit
> et de rootkit hunter me la confirmé.
> Je me suis retouvé avec un repertoire caché : etc/.java contenant 
> .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), 
> dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui 
> contenait mbot.tgz et un rep init/ avec divers fichiers, et dans 
> var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC.
> J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais 
> savoir si vous avez déjà été victime de ce genre d'attaque ou
> tentative ? A l'heure qu'il est je n'est pas encore trouvé comment
> celà avait bien put se produire, un serveur de test n'étant pas
> forcément le mieux rangé !! Je vous remercie par avance pour toute
> infos pouvant éclairer ma lanterne.
> 
> 
Oui, en Décembre 2003. Va voir le fil

http://lists.debian.org/debian-user-french/2003/12/msg01134.html

j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré
8heures après son exploit). Les conclusions notables étaient

1) Il n'avait pas fait ça que pour le sport
2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était
pas détecté, le mode promiscuous des cartes non plus)

Ca a abouti à la création d'un programme que j'ai installé sur tous les
serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un
autre qui teste l'intégrité d'une liste de fichiers (paquet 
surveillance) que j'ai installé sur toutes mes machines exposées. Les
paquets se trouvent sur mon site 

(deb http://boisson.homeip.net/sarge/ ./ )

La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà
l'époque (il y avait eu un premier prototype en bash!! toujours
accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en
Caml).


François Boisson

Reply to:

Follow-Ups:
- Re: Intrusion shellbot
  - From: snoopy <snoopy@home.snoopyouaib.com>

References:
- Intrusion shellbot
  - From: snoopy <snoopy@home.snoopyouaib.com>

Prev by Date: Re: grip & cdparanoia
Next by Date: Re : Intrusion shellbot
Previous by thread: Re: Intrusion shellbot
Next by thread: Re: Intrusion shellbot
Index(es):
- Date
- Thread