J'ai modifie le sujet car cela se rapproche d'une discussion de cette
semaine concernant la securite (lien en bas de page)
Fran�ois Boisson wrote:
[intrusion sur ma passerelle, suite]
J'ai plusieurs questions � propos de l'intrusion dont j'ai �t� victime ce
20 d�cembre, le gars n'a pas s�vi longtemps (il a commenc� � 19heures et
j'ai stopp� le bazar � 1h30 du matin (de retour d'un r�veillon anticip�).
A noter que chkrootkit ne d�signait aucun processus mis � part bindshell,
J'ai fait une image des disques / et /usr (mais ai b�tement oubli� le swap
ce qui est dommage) juste apr�s avoir fait un iptables bloquant un port
d'un ssh install�. J'ai pu apr�s r�cup�r� les fichiers d�truits sur les
deux disques et �tudier un peu ce que le gars a fait. Ma premi�re question
est celle ci, l'un des scripts commence par
#!/bin/sh
cl="ESC[0m"
cyn="ESC[36m"
wht="ESC[37m"
...
puis on voit des commandes du type
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
adress...">/dev/stderr
� ma connaissance, c'est pour faire beau � l'�cran (clignotement, etc),
peut on d�tourner ces commandes?
Je penserai la meme chose, mais � la lecture de ce que Jean-Luc a note ...
Apparemment le gars s'est d�chain� vers 19h: Il a r�cup�r� les fichiers
shadow, passwd, puis a cherch� sur la machine successivement des mp3, des
mpgs, des avis, des num�ros de cartes bleues ainsi que des fichiers czz:
pour �tre exact:
...
echo
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... please
wait (t his can take several minutes)" >/dev/stderr
echo "Searching for ccz..."
echo
...
Que sont ces ccz? D'apr�s Google, ce serait des fichiers de cr�ations de
CD/DVDrom pour des outils Windows, sur une machine Linux, c'est idiot!
Quelqu'un a-t-il une id�e?
Hmmh. Lorsque l'on regarde d'ou vient suckIT, c'est de tch�choslovaquie
(cz) Les gars ayant d�velopp�s le produit signent cdi cz Extrait du README
++++++++++++++++++ SucKIT README File ++++++++++++++++++++++++++++++++
SucKIT v1.3b, (c) 2002 by sd <sd cdi cz> & devik <devik cdi cz>
+-------------------------------------------------------------+
Et de ce que j'ai lu, c'est pas *vraiment* fait pour des MP3 ou autres
fichiers audio
D'apr�s les traces j'ai vu, le gars a install� SuckIT qui patche
directement le noyau, et permet de cacher des processus, apparemment il
modifie directement le noyau en m�moire via kmem...
Ces fameux processus cach�s existent tout de m�me, je veux dire qu'une
commande du type
# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline && echo $i "
pid existant"; done
m'aurait surement fourni TOUS les pids des processus y compris les cach�s
je pense. Quelqu'un peut il me confirmer cela?
Cela ressemble a (trouve dans un thread sur ce probleme sur
linuxQuestions.org
Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat
$i/cmdline; echo $i | grep -e "sk"); done This will return the PID for
sk, change to that dir and grep environ -e "pwd". This returns the
rootkits dir (/usr/share/locale/ro_US ?).
4. Uninstall rootkit: cd to that dir, and execute "./sk -u" to uninstall.
Ce qui est idiot c'est que dans ce cas, j'aurai pu r�cup�rer
l'environnement, la ligne de commande, etc et identifier plus clairement
le vers.
Peut etre, mais il m'a l'air asser violent. Dans mes lectures, j'ai vu
qu'un module nomme StMichael lui resistait. Tu peux peut etre aller voir
de ce cote la.
Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? En
�pluchant les logs, je vois plein de connections wu-ftpd sans chargement
de fichiers correspondant mais venant d'adresses tr�s diff�rentes, le gars
masquait son IP mais dans ce cas, pouvait il avoir les r�ponses en retour
ou proc�dait-il � l'aveugle?
Comme il semble que ce kit permette d'ouvrir des terminaux sur
*n'importe quel* port, il va peut etre falloir faire des recoupements
adresse/port. Maintenant, si c'est ta machine qui ouvre la connexion
apres l'infection, peut etre tu trouveras plus rapidement, en imaginant
que les connexions wu-ftpd soient des leurres.
D�sol� de ce message HS et bonnes f�tes
Bonne f�tes a toi aussi
Fran�ois Boisson
Tres interessant a lire (anglais)
http://www.redhat.com/archives/enigma-list/2002-October/msg00442.html
--
: ______ ______ ______ ______ ______ __ [EMAIL PROTECTED]
: /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276
: / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276
: /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
