Securite

Paulo.debian Thu, 25 Dec 2003 07:32:59 -0600

Bonnjour,
Ce matin j'ai trouv� un dr�le de cadeau de no�l dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inqui�ter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:
        
**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root 
by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody 
Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody 
by (uid=0)
Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root


**apache/error.log:
#Un asticot acharn�, je ne vous est pas mis le debut �a aurait fait long
[Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/d/winnt/system32/cmd.exe
[Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/root.exe
#La partie "interessante"
[Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received.  Doing graceful restart
[Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: 
mod_mime_magic: can't read magic file /etc/apache/share/magic
[Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux 
PHP/4.1.2 configured -- resuming normal operations
[Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: 
/usr/lib/apache/suexec)
[Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)

**syslog:
L� c'est interessant car il a redemarr� � 6H27 en cr�ant un nouveau
fichier syslog.
#La fin de l'ancien; syslog.0
Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e 
/usr/sbin/anacron || run-parts --report /etc/cron.daily)
#Et le debut du nouveau
Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.

Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
mais c'est peut �tre une erreur de ma part) portant le nom setuid.* dont
voici le contenu:
#setuid.changes
homedebian changes to setuid programs and devices:
--- setuid.today        Thu Dec 25 06:27:05 2003
+++ /var/log/setuid.new.tmp     Thu Dec 25 06:27:05 2003
@@ -0,0 +1,5442 @@
+   15586   666   1 root       root               0 Wed Dec 24 12:41:26 2003 
/dev/dri/card0
+   15707  4755   1 root       root           14508 Mon Jan 21 21:25:22 2002 
/sbin/unix_chkpwd
+   15769   660   1 root       root               0 Thu Mar 14 22:54:42 2002 
/dev/input/mice
Environ 6000 lignes dans le m�me type suivent...
L� c'� m'inqui�te parce que mon syst�me a �t� r�install� en novembre
2003 et ce fichier cr�e ce matin � 6H27 contient des infos datant de
2002.
Ce fichier est accompagn� d'autres du m�me type: setuid.changes.0,
setuid.changes.new, setuid.today, setuid.yesterday cr�es en m�me temps.

Pour terminer au redemarrage de ma connexion ADSL j'ai trouv� quelque
chose de bizarre:
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN

Voil� c'est tout. Si vous avez une id�e...
Je vous souhaite un joyeux noel � tous.
Paul

PS: Woody + Iptables avec apache. Noyau 2.4.22

Securite

Répondre à