[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Re : Intrusion shellbot

Bonjour,

snoopy <snoopy@home.snoopyouaib.com> a écrit :

> En fait je vient de vérifier sur une machine d'un collègue sur laquelle 
> nous avons installer OpenExchange et donc Tomcat+Java et il apparait la 
> même arbo /etc/.java/
> Donc je suppose qu'il ne faut pas s'inquiéter plus que cela.
> Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter 
> "http://www.rootkit.nl/projects/rootkit_hunter.html"; et ensuite lire le 
> fil que nous indique François Boisson qui est très instructif et lancer 
> son script pour trouver les processus caché (s'il y en a).

Bon.   le prg de  F.  Boisson  tout d'abord.   Je l'avais  installer à
l'époque de la version bash. Je viens de le réinstaller sous .deb ==>
mauvais log reporter par logcheck que voici :

Subject: Cron <root@zandette>  /usr/bin/regarde
Fatal error: uncaught exception.

De plus chktootkit me renvoie ceci :

,----
| /usr/lib/realplay-10.0.4/share/default/.realplayerrc
| 
| +/usr/lib/zope/lib/python/Products/Archetypes/content_driver/.DocBook.py.swp
| 
| +/usr/lib/zope/lib/python/Products/COREBlog/help/.DS_Store
| /usr/lib/zope/lib/python/Products/COREBlog/stripogram/.DS_Store
| 
| +/usr/lib/zope/lib/python/Products/COREBlog/.DS_Store
| /usr/lib/zope/lib/python/Products/COREBlog/dtml/.DS_Store
| 
| +/usr/lib/zope/lib/python/Products/COREBlog/dtml/modules/.DS_Store
| 
| +/usr/lib/zope/lib/python/Products/COREBlog/dtml/skin/.DS_Store
| 
| +/usr/lib/zope/lib/python/Products/COREBlog/dtml/skin/default/.DS_Store
| /usr/lib/j2se/1.4/jre/.systemPrefs
| 
| +/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
| /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
| 
| +/usr/lib/cgi-bin/nut/.htaccess        /usr/lib/mindi/rootfs/proc/.keep
| /usr/lib/mindi/rootfs/root/.profile /usr/lib/kaffe/.system
| 
| /usr/lib/j2se/1.4/jre/.systemPrefs
| 
| eth0: PACKET SNIFFER(/usr/sbin/prelude-nids[19379])
`----

Tout ça ne sont-ce point des faux positifs ? Surtout prelude-nids tout
de même.

par contre il me renvoie également 

,----
| INFECTED (PORTS: 1524 31337)
`----

alors là une petite recherche me donne :

root # netstat -lnp | grep .*1524.*LISTEN
tcp        0      0 0.0.0.0:1524 0.0.0.0:*  LISTEN 5530/portsentry     
root # netstat -lnp | grep .*31337.*LISTEN
tcp        0      0 0.0.0.0:31337 0.0.0.0:* LISTEN 5530/portsentry

et 

root # ps auwex | grep -w [5]530
root 5530 0.0  0.0 1520 500 ? Ss  Jul04 0:00 /usr/sbin/portsentry -tcp
CONSOLE=/dev/console       TERM=linux       INIT_VERSION=sysvinit-2.86
PATH=/bin:/usr/bin:/sbin:/usr/sbin    RUNLEVEL=3    runlevel=3   PWD=/
PREVLEVEL=N previous=N HOME=/ SHLVL=2 _=/usr/sbin/portsentry 

C'est mon portsentry. Alors franchement chkrootkit.... 

--
Philippe Monroux
Ile de la Reunion 
E 55.3 S 21.5
Reply to: