On Mon, 22 Dec 2003 13:10:55 +0100 daniel huhardeaux <[EMAIL PROTECTED]> wrote:
> Fran�ois Boisson wrote: > > > [...] > > > > > >PS: Un administrateur r�seau peut il me donner des conseils, c'est > >apparemment un Kit0.42, qui install un bindshell sur le port 3049 dont > >le processus prend les diff�rents noms nmbd, gzip, tar, script, etc. > >Quelqu'un a-t-il des d�tails sur ce nom Kit 0.42 (nom apparu au boot > >quand j'ai vir� l'un des processus). J'ai fini par installer une r�gle > >iptables bloquant ce port en attendant et le sniffer est stopp� (j'ai > >retrouv� les fichiers de logs du sniffer, c'est impressionnant). Le > >plus simple est de refaire une install j'imagine :-(. J'ai conserv� une > >image des disques � tout hasard... > > > > > Tout depend du temps que tu as devant toi. Il y a 1 an 1/2 une de mes > machines etait infecte par le worm bugtraq. Il m'a ete fortement > conseille de la reinstaller. Etant pris par le temps, m'en etant rendu > compte dans les 12h apres l'infection, et surtout que s'il fallait > *absolument* repartir de zero _rapidement_ c'etait possible (par ex en > un WE) j'ai decide de ne pas le faire. J'ai passe les 15 jours suivant > l'epuration au chevet de la machine (~3h par jour les 2 premiers jours, > moins apres) pour verifier. Tout etait rentre dans l'ordre. > > Ton cas a l'air *beaucoup* plus severe que celui que j'ai subi. A toi de > voir ce que tu peux/dois consacrer comme temps car quelquesoit l'option > il te _faudra_ du temps, ce que tu perds si la stabilitee de la machine > devenait critique, ce que tu perds (donnees) si tu repars a zero. Bref, > il n'y a que toi a avoir la reponse. "Crois tu que tu pourras/auras les > capacites de remettre la machine en etat?" donne la reponse et tu auras > la solution ;-) > > Depuis le jour ou cela m'est arrive, j'ai adopte deux regles sur mes > machines de production, en dehors du check regulier des logs et tout le > tsoin tsoin: > > 1) toutes les heures un chkrootkit est lance 24h/24h 7j/7j > 2) s'il y a un probleme et qu'une solution existe on l'applique, a > fortiori s'il s'agit de securite: patchs appliques des disponibilite > > Je ne reponds pas a ta question, ceci est uniquement le point de vue de > quelqu'un a qui c'est deja arrive. Pour t'aider, tu peux peut etre te > baser sur les articles de linux magazine qui traitent sur les infections > de machines. > > En esperant t'avoir aider un peu. En fait, j'ai install� des rustines: J'ai remont� le circuit du boot jusqu'� �liminer le lancement du sniffer. Je n'arrive pas � supprimer le bindshell. Visiblement, le vers � l'air d'�tre assez profond�ment ancr�. Bizarrement, certains fichiers sont grossi�rement modifi�s mais d'autres le sont plus subtilement. gzip, tar, iptables, etc... Finalement, j'ai proc�d� comme suit: Sur une autre machine (mon portable tout neuf), j'ai reproduis une sauvegarde saine de la machine, j'ai mis � jour et fait quelques am�liorations notamment le nouveau noyau. Puis j'ai cr�e deux fichiers de la taille exacte de mes deux disques correspondant � / et /usr, je les ai mont� en loop et fait une copie de ma nouvelle passerelle. J'ai mis � jour /var et autres histoire de ne pas perdre la base bayes de spamassassin. Puis � l'aide d'un petit utilitaire tr�s pratique que j'ai fait il y a 6 mois (clientpartition et serveurpartition) j'ai transf�r� via r�seau les images sur les disques correspondant, un coup de lilo et hop on reboote et �a a relativement march�, juste l'installation du courrier (spamassassin et la mise automatique au boot du r�seau � mettre en place). Le service a �t� interrompu moins d'une heure cumul�e, c'est ma seule petite consolation dans cette histoire. Pour pr�venir ce genre de truc, j'ai envie de mettre les repertoires /bin /sbin et �ventuellemnt /lib soit sur CD soit sur disque compress� cloop (j'ai compil� le module et les utilitaires) qui sont en �criture seule. Sinon, ayant conserv� les images des disques, je vais essay� d'analyser comment le gus a r�ussi � entrer sur la machine mais j'ai des soupcons sur un compte ftp en �criture possible dont le mot de passe a �t� diffus� sur une liste (volontairement), peut �tre une faille de wu-ftpd. Merci des conseils en tout cas. Fran�ois Boisson > -- > : ______ ______ ______ ______ ______ __ [EMAIL PROTECTED] > : /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276 > : / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276 > : /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546 > > > > -- > Pensez � lire la FAQ de la liste avant de poser une question : > http://savannah.nongnu.org/download/debfr-faq/html/ > > Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
