Re: Securite

[yoann]

Bonjour,

Bonjour,

Ce matin j'ai trouv� un dr�le de cadeau de no�l dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inqui�ter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:

:)

**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root 
by (uid=0)

Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0)

Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root

regarde les scripts plac�s dans /etc/cron.daily, il doit y en avoir un qui
cherche � faire un su

**apache/error.log:
#Un asticot acharn�, je ne vous est pas mis le debut �a aurait fait long
[Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/d/winnt/system32/cmd.exe
[Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/root.exe

tentative d'attaque connu sur un serveur IIS de M$, a part te faire pourrir
tes log, tu ne craints rien de ce cot� l�

#La partie "interessante"
[Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received.  Doing graceful restart
[Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: 
mod_mime_magic: can't read magic file /etc/apache/share/magic
[Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux 
PHP/4.1.2 configured -- resuming normal operations
[Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: 
/usr/lib/apache/suexec)
[Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)

Rien de l�chant ici, a 6h25 le matin il y a cron.daily ou cron.weekly qui se
lance. -> voir dans /etc/crontab et man cron. et dans ces scripts, il doit y
avoir logrotate qui te permet de faire tourner tes logs, pour �viter d'avoir
de trop gros fichier dans /var/log, et � la fin le script relance apache pour
recr�er les fichiers de log
pour ce qui est du mod_mime_magic, simplement qu'au red�marrage, il charge les
modules et en chargeant ce module, il a besoin de lire le fichier
/etc/apache/share/magic et il n'y arrive pas.

**syslog:
L� c'est interessant car il a redemarr� � 6H27 en cr�ant un nouveau
fichier syslog.
#La fin de l'ancien; syslog.0
Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e 
/usr/sbin/anacron || run-parts --report /etc/cron.daily)
#Et le debut du nouveau
Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.

cf logrotate pour les log d'apache, il le fait �galement sur syslog

Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
mais c'est peut �tre une erreur de ma part) portant le nom setuid.* dont
voici le contenu:
#setuid.changes
homedebian changes to setuid programs and devices:
--- setuid.today        Thu Dec 25 06:27:05 2003
+++ /var/log/setuid.new.tmp     Thu Dec 25 06:27:05 2003
@@ -0,0 +1,5442 @@
+   15586   666   1 root       root               0 Wed Dec 24 12:41:26 2003 
/dev/dri/card0
+   15707  4755   1 root       root           14508 Mon Jan 21 21:25:22 2002 
/sbin/unix_chkpwd
+   15769   660   1 root       root               0 Thu Mar 14 22:54:42 2002 
/dev/input/mice
Environ 6000 lignes dans le m�me type suivent...
L� c'� m'inqui�te parce que mon syst�me a �t� r�install� en novembre
2003 et ce fichier cr�e ce matin � 6H27 contient des infos datant de
2002.

je ne connais pas trop donc je ne dirais ne donnerai pas d'explication, mais a
priori ce n'est pas inqui�tant

Ce fichier est accompagn� d'autres du m�me type: setuid.changes.0,
setuid.changes.new, setuid.today, setuid.yesterday cr�es en m�me temps.

Pour terminer au redemarrage de ma connexion ADSL j'ai trouv� quelque
chose de bizarre:
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN

probl�me avec le serveur DNS... un processus local cherche une r�solution DNS
sur l'url funkytaz10.myftp.org, mais named refuse. je ne peux pas en dire plus

Voil� c'est tout. Si vous avez une id�e...

c'est fait ;)

Je vous souhaite un joyeux noel � tous.

Noyeux Jo�l � tous �galement

Paul

Yoann