Re: Disparition de logs

Sat, 21 Feb 2004 09:12:08 -0600 

Le 12469i�me jour apr�s Epoch,
Yann Autissier �crivait:

> Fran�ois TOURDE a �crit :
>>C'est quoi "sherpyanis�s" ??
>>
> J'ai trouv� ces paquets sur apt-get.org :
>
> deb http://debian.netfarm.it/debian/ woody sherpya
> deb http://www.backports.org/debian stable all

Bon. On va dire que c'est un nouveau mot alors.

> Mon uptime est reparti de 0 au reboot, par contre chkrootkit
> me renvoie deux lignes int�ressantes :
>
> # chkrootkit
> Searching for suspicious files and dirs, it may take a while...
> /usr/lib/tiger/bin/.bintype
> Checking `bindshell'... INFECTED (PORTS:  1524 31337)
>
> # lsof |grep ":1524"
> # lsof |grep ":31337"
> portsentr  1002  root   40u  IPv4       2473                 TCP
> *:31337 (LISTEN)
> portsentr  1006  root   30u  IPv4       2547                 UDP
> *:31337

Super... Tu as gagn� le droit de la r�installer. Tiger est bien foutu
comme rootkit. En lui-m�me il ne fait pas de d�gats, mais donne la
main � des connect�s IRC ou SSH si mes souvenirs sont bons.

J'ai eu l'occasion d'enlever Tiger � la main sur une machine qu'il
�tait impossible de r�installer. C'est long mais faisable. Par contre
je ne me souviens plus du tout ce qu'il a fallu que je fasse.

> Je vais essayer de r�cup�rer un max d'info ce week-end, puis je demande
> la reinstallation Lundi � la premi�re heure...

A priori tu ne pourras pas r�cup�rer grand chose de l'intrusion, si
c'est � �a que tu fais allusion. Attention tout de m�me car Tiger
installe son propre ssh. Dangereux.

> Existe-t-il de la documentation pour savoir a peu pr�s comment r�agir dans
> ces situations la ?

Oui, j'ai le souvenir d'avoir lu un protocole de d�sinfection trouv�
sur le net, mais j'avoue ne plus me souvenir o�. Tu devrais pouvoir
trouver des liens avec le CERT.

Sinon, je crois que Tiger ne touche pas � 'sum' et 'rsync', du coup
moi j'avais rsync� quelques binaires (genre ls, ps, netstat, etc...)
dans un coin tranquille, et utilis� ceux-ci pour la d�sinfection.

L'id�al:

1- D�brancher la machine du net
2- Dump du disque (sans le booter bien s�r)
3- R�install from scratch
4- R�cup�ration (� la pince � �piler) des infos depuis le dump

Attention, certains fichiers de config sont modifi�s par Tiger,
notament /etc/inetd.conf, pour relancer ses services, et probablement
/etc/inittab ou /etc/modu* pour installer le module servant � Hider
tout un tas de choses.

Bon W-E :)

-- 
Let's say the docs present a simplified view of reality...    :-)
             -- Larry Wall in  <[EMAIL PROTECTED]>

Répondre à