[intrusion sur ma passerelle, suite]
J'ai plusieurs questions � propos de l'intrusion dont j'ai �t� victime ce
20 d�cembre, le gars n'a pas s�vi longtemps (il a commenc� � 19heures et
j'ai stopp� le bazar � 1h30 du matin (de retour d'un r�veillon anticip�).
A noter que chkrootkit ne d�signait aucun processus mis � part bindshell,
J'ai fait une image des disques / et /usr (mais ai b�tement oubli� le swap
ce qui est dommage) juste apr�s avoir fait un iptables bloquant un port
d'un ssh install�. J'ai pu apr�s r�cup�r� les fichiers d�truits sur les
deux disques et �tudier un peu ce que le gars a fait. Ma premi�re question
est celle ci, l'un des scripts commence par
#!/bin/sh
cl="ESC[0m"
cyn="ESC[36m"
wht="ESC[37m"
...
puis on voit des commandes du type
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
adress...">/dev/stderr
� ma connaissance, c'est pour faire beau � l'�cran (clignotement, etc),
peut on d�tourner ces commandes?
Apparemment le gars s'est d�chain� vers 19h: Il a r�cup�r� les fichiers
shadow, passwd, puis a cherch� sur la machine successivement des mp3, des
mpgs, des avis, des num�ros de cartes bleues ainsi que des fichiers czz:
pour �tre exact:
...
echo
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... please
wait (t his can take several minutes)" >/dev/stderr
echo "Searching for ccz..."
echo
...
Que sont ces ccz? D'apr�s Google, ce serait des fichiers de cr�ations de
CD/DVDrom pour des outils Windows, sur une machine Linux, c'est idiot!
Quelqu'un a-t-il une id�e?
D'apr�s les traces j'ai vu, le gars a install� SuckIT qui patche
directement le noyau, et permet de cacher des processus, apparemment il
modifie directement le noyau en m�moire via kmem...
Ces fameux processus cach�s existent tout de m�me, je veux dire qu'une
commande du type
# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline && echo $i "
pid existant"; done
m'aurait surement fourni TOUS les pids des processus y compris les cach�s
je pense. Quelqu'un peut il me confirmer cela?
Ce qui est idiot c'est que dans ce cas, j'aurai pu r�cup�rer
l'environnement, la ligne de commande, etc et identifier plus clairement
le vers.
Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? En
�pluchant les logs, je vois plein de connections wu-ftpd sans chargement
de fichiers correspondant mais venant d'adresses tr�s diff�rentes, le gars
masquait son IP mais dans ce cas, pouvait il avoir les r�ponses en retour
ou proc�dait-il � l'aveugle?
D�sol� de ce message HS et bonnes f�tes
Fran�ois Boisson
