Le lundi 20 janvier 2003, � 16:45, Pierre Crescenzo �crivait :
> Suite � un probl�me mat�riel sur une machine Debian, j'ai cru � un
> piratage et me suis int�ress�, pour la premi�re fois, � la s�curit�. Une
> fois �vacu� le probl�me mat�riel, qui n'avait finalement rien � voir
> avec un piratage, j'en arrive au constat que ma machine (non s�curis�e)
> est infect�e par le Cheval de Troie NetBus.

Tu es s�r qu'il s'agit bien de Netbus�?!!
� ma connaissance, il s'agit d'un cheval de troie pour Windows...
Je n'ai pas entendu parler d'un portage sous unix (mais c'est vrai que
le support d'un grand nombre d'architectures est l'un des gros points
forts de Debian ;-).
Tu n'aurais pas plut�t un IDS (portsentry, snort ou autre) qui
tournerait sur ta machine�? Typiquement, ce type de programme ouvre les
ports utilis�s par les chevaux de troie connus pour d�tecter les
tentatives de connection qui y sont faites.
Un "netstat -taupe" (en tant que root) devrait te permettre de voir quel
est le programme qui utilise le port qui te semble suspect, et si une
connection est active ou non.

> Je vais donc la r�installer, mais avant cela, par curiosit�, j'ai lanc�
> quelques "nmap" sur des machines de coll�gues, qui sont, elles,
> prot�g�es par des firewall s�v�res et ouvrent un tr�s petit nombre de
> ports, a priori un peu plus s�rs que les autres, comme ssh.

M�me remarque que ci-dessus, et avant de r�installer, essaie d'abord
un programme comme chkrootkit ou un antivirus pour d�sinfecter ta
machine (si besoin est).

> Et, surprise pour mes coll�gues et moi, quasiment toutes les machines
> test�es (sous diff�rentes versions de Windows et/ou Linux) sont
> infect�es par NetBus et/ou d'autres Chevaux de Troie.
> 
> Donc, avant de nous lancer dans une r�installation globale a priori
> inefficace, nous voudrions comprendre le mode de contamination de NetBus
> et, si possible, des autres Chevaux de Troie. Passent-il par un port non
> suspect� ? Sniffent-ils le r�seau en d�cryptant les mots de passe
> crypt�s ? Corrompent-ils des clients a priori s�curis�s (genre ssh) pour
> s'attaquer aux serveurs (sshd) ?

C'est beaucoup plus simple que �a. S'il s'agit bien de Netbus, c'est
tout simplement toi qui l'as install�.
Il ne s'agit pas d'un ver, il est incapable de se r�pandre tout seul.

> J'en arrive (enfin :-)) � ma question. Connaissez-vous un document qui
> explique le mode de propagation de NetBus ? O� trouver de la
> documentation � ce sujet ? Je parle bien du mode de propagation de
> NetBus et/ou autres Chevaux de Troie pr�cis, pas d'une explication
> g�n�rale de ce qui est possible en th�orie, ni d'une liste de parades
> possibles.
> 
> J'ai pas mal surf� ces derniers jours mais n'ai rien trouv� de
> concluant. J'ai m�me achet� "Halte aux hackers Linux" chez OEM, pour
> avoir le d�plaisir d'y trouver les m�mes banalit�s g�n�rales (mais rien
> de tr�s pr�cis) que ce que j'ai r�ussi � trouver sur Internet.

Je ne connais pas "Halte aux hackers Linux". Le dernier num�ro de Misc
est consacr� aux virus. Je te le conseille.

Sinon, une recherche sur Netbus sur sans.org me renvoie�:
http://www.sans.org/rr/malicious/netbus21.php
Et sur cert.org, � propos des chevaux de troie en g�n�ral�:
http://www.cert.org/advisories/CA-1999-02.html

Les �diteurs d'antivirus donnent assez souvent des explications
d�taill�es sur les bestioles�:
http://www.sophos.com/virusinfo/

Je ne sais pas si �a r�pondra aux questions que tu te poses...

Répondre à