> Bonnjour, > Ce matin j'ai trouv� un dr�le de cadeau de no�l dans mes log. N'etant > pas expert en securite j'aimerais avoir votre avis pour savoir si je > dois m'inqui�ter. Ci-dessous les fichiers interresant qui valent mieux > qu'un long discours: > > **auth.log: > Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for > user root by (uid=0) > Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody > Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user > nobody by (uid=0) > Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for > user root >
oh le beau rootkit ! > **apache/error.log: > #Un asticot acharn�, je ne vous est pas mis le debut �a aurait fait > long > [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not > exist: /var/www/d/winnt/system32/cmd.exe > [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not > exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe > [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not > exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe > [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not > exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe > [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not > exist: /var/www/scripts/root.exe un peu blaireau sur les bords, il a d'abord cru que t'�tais sous win NT. il a donc test� l'exploit classique, garanti script-kiddie au moins, il t'a laiss� une IP (la sienne ? vu ses m�thodes, �a ne serait pas �tonnant) : 80.14.89.16 (d'apr�s ton log, il la poss�dait au moins de 19:32:16 � 22:22:08 le 24/12/2003 , garde �a au cas o�, on sait jamais ... c'est le seul moyen de le retrouver s'il fait des conneries) > #La partie "interessante" > [Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received. Doing graceful > restart > [Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: > mod_mime_magic: can't read magic file /etc/apache/share/magic > [Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian > GNU/Linux PHP/4.1.2 configured -- resuming normal operations > [Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: > /usr/lib/apache/suexec) > [Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: > sysvsem) > 8 h plus tard, il capte que t'es sous linux et t'envoie un exploit pour apache, que tu devrais d'ailleurs mettre � jour (1.3.26, c'est vraiment vieux comme version, maintenant �a s'appelle httpd et c'est en version 2.0.?, j'ai oubli�). utilises aussi les mises � jour s�curit� de debian (option � activer dans apt-setup ou par �dition manuelle du /etc/apt/sources.list , d�commente la ligne correspondante) > **syslog: > L� c'est interessant car il a redemarr� � 6H27 en cr�ant un nouveau > fichier syslog. > #La fin de l'ancien; syslog.0 > Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e > /usr/sbin/anacron || run-parts --report /etc/cron.daily) > #Et le debut du nouveau > Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. > il doit avoir l'habitude de cracker du windows, ce qui laisse � penser que son niveau est assez bas : il red�marre un linux, sans doute pour appliquer des modifications (!), d'autant plus ridicule qu'il est root > Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant > mais c'est peut �tre une erreur de ma part) portant le nom setuid.* > dont > voici le contenu: > #setuid.changes > homedebian changes to setuid programs and devices: > --- setuid.today Thu Dec 25 06:27:05 2003 > +++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003 > @@ -0,0 +1,5442 @@ > + 15586 666 1 root root 0 Wed Dec 24 12:41:26 > 2003 /dev/dri/card0 > + 15707 4755 1 root root 14508 Mon Jan 21 21:25:22 > 2002 /sbin/unix_chkpwd > + 15769 660 1 root root 0 Thu Mar 14 22:54:42 > 2002 /dev/input/mice > Environ 6000 lignes dans le m�me type suivent... > L� c'� m'inqui�te parce que mon syst�me a �t� r�install� en novembre > 2003 et ce fichier cr�e ce matin � 6H27 contient des infos datant de > 2002. > Ce fichier est accompagn� d'autres du m�me type: setuid.changes.0, > setuid.changes.new, setuid.today, setuid.yesterday cr�es en m�me temps. > ben ouais, il a fait joujou avec le rootkit (c'est le p�re no�l qui lui a fil� le manuel du parfait petit lamer ;-) ) > Pour terminer au redemarrage de ma connexion ADSL j'ai trouv� quelque > chose de bizarre: > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN > Dec 25 12:38:23 homedebian named[292]: denied query from > [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN > ce site propose un �change de films par m�thode Bittorrent d'apr�s mes recherches, le port 32789 sert surtout au TFTP (trivial ftp). le site dit avoir arr�t� le ftp parce qu'il �tait satur� : apparemment, le pirate n'a pas fr�quent� ce site depuis cet avertissement. il voulait s�rement utiliser ta connection permanente pour t�l�charger les films et ensuite les transf�rer sur son PC (ou une autre utilisation qui m'�chappe) > Voil� c'est tout. Si vous avez une id�e... > Je vous souhaite un joyeux noel � tous. joyeux No�l � toi aussi et � toute ta famille ! > Paul > > PS: Woody + Iptables avec apache. Noyau 2.4.22 METS-MOI CA A JOUR ! Je veux que tu changes de version d'apache, que tu actives l'utilisation des mises � jour de s�curit� debian et que, si tu utilise php et mysql, tu penses � �ventuellement les mettre � jour. si tu n'arrives pas � faire �a, maile moi, j'ai l'ADSL depuis trois jours donc je regarde souvent mes mails (� ma gueule, tu comprendrais que c'est vrai ... ;-) )
