Le 26.12.2003 22:36, Fran�ois Boisson a �crit�: |[intrusion sur ma passerelle, suite] | |J'ai plusieurs questions � propos de l'intrusion dont j'ai �t� |victime ce|20 d�cembre, le gars n'a pas s�vi longtemps (il a commenc� � 19heures
|et |j'ai stopp� le bazar � 1h30 du matin (de retour d'un r�veillon |anticip�). |A noter que chkrootkit ne d�signait aucun processus mis � part |bindshell,|J'ai fait une image des disques / et /usr (mais ai b�tement oubli� le
|swap
|ce qui est dommage) juste apr�s avoir fait un iptables bloquant un
|port
|d'un ssh install�. J'ai pu apr�s r�cup�r� les fichiers d�truits sur
|les
|deux disques et �tudier un peu ce que le gars a fait. Ma premi�re
|question
|est celle ci, l'un des scripts commence par
|
|
|#!/bin/sh
|cl="ESC[0m"
|cyn="ESC[36m"
|wht="ESC[37m"
|...
|puis on voit des commandes du type
|echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
|adress...">/dev/stderr
|
|� ma connaissance, c'est pour faire beau � l'�cran (clignotement,
|etc),
|peut on d�tourner ces commandes?Il y a eu le CAN-2003-0063 qui signalait qu'on pouvait exploiter une commande esc :
echo -e '\e]2;s && echo rm -rf *\a' > /tmp/sploit
echo -e '\e[21t' >> /tmp/sploit
cat /tmp/sploit
Peut-�tre est-ce le m�me genre d'exploit ?
--
- Jean-Luc
|
|Apparemment le gars s'est d�chain� vers 19h: Il a r�cup�r� les
|fichiers
|shadow, passwd, puis a cherch� sur la machine successivement des
mp3,
|des
|mpgs, des avis, des num�ros de cartes bleues ainsi que des fichiers
|czz:
|pour �tre exact:
|
|...
|echo
|echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz...
|please
|wait (t his can take several minutes)" >/dev/stderr
|echo "Searching for ccz..."
|echo
|...
|
|Que sont ces ccz? D'apr�s Google, ce serait des fichiers de
cr�ations
|de |CD/DVDrom pour des outils Windows, sur une machine Linux, c'est |idiot! |Quelqu'un a-t-il une id�e? | |D'apr�s les traces j'ai vu, le gars a install� SuckIT qui patche |directement le noyau, et permet de cacher des processus, apparemment |il |modifie directement le noyau en m�moire via kmem... |Ces fameux processus cach�s existent tout de m�me, je veux dire |qu'une |commande du type ||# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline && echo $i
|" |pid existant"; done | |m'aurait surement fourni TOUS les pids des processus y compris les |cach�s |je pense. Quelqu'un peut il me confirmer cela? | |Ce qui est idiot c'est que dans ce cas, j'aurai pu r�cup�rer |l'environnement, la ligne de commande, etc et identifier plus |clairement |le vers. | |Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? |En |�pluchant les logs, je vois plein de connections wu-ftpd sans |chargement|de fichiers correspondant mais venant d'adresses tr�s diff�rentes, le
|gars |masquait son IP mais dans ce cas, pouvait il avoir les r�ponses en |retour |ou proc�dait-il � l'aveugle? | |D�sol� de ce message HS et bonnes f�tes | |Fran�ois Boisson | | |-- |Pensez � lire la FAQ de la liste avant de poser une question : |http://savannah.nongnu.org/download/debfr-faq/html/ | |Pensez � rajouter le mot ``spam'' dans vos champs "From" et |"Reply-To:" | |To UNSUBSCRIBE, email to [EMAIL PROTECTED] |with a subject of "unsubscribe". Trouble? Contact |[EMAIL PROTECTED] | |
pgpBwDiDuJ9pS.pgp
Description: PGP signature
