=?iso-8859-1?B?UmWg?= =?iso-8859-1?Q?=3A?= Disparition de logs

[Jean-Luc Coulon (f5ibh)]

Le 21.02.2004 15:55, Fran�ois TOURDE a �crit�:

Le 12469i�me jour apr�s Epoch,
Yann Autissier �crivait:

Fran�ois TOURDE a �crit :

C'est quoi "sherpyanis�s" ??

J'ai trouv� ces paquets sur apt-get.org :

deb http://debian.netfarm.it/debian/ woody sherpya
deb http://www.backports.org/debian stable all

Bon. On va dire que c'est un nouveau mot alors.

Mon uptime est reparti de 0 au reboot, par contre chkrootkit
me renvoie deux lignes int�ressantes :

# chkrootkit
Searching for suspicious files and dirs, it may take a while...
/usr/lib/tiger/bin/.bintype
Checking `bindshell'... INFECTED (PORTS:  1524 31337)

# lsof |grep ":1524"
# lsof |grep ":31337"
portsentr  1002  root   40u  IPv4       2473                 TCP
*:31337 (LISTEN)
portsentr  1006  root   30u  IPv4       2547                 UDP
*:31337

Super... Tu as gagn� le droit de la r�installer. Tiger est bien foutu
comme rootkit. En lui-m�me il ne fait pas de d�gats, mais donne la
main � des connect�s IRC ou SSH si mes souvenirs sont bons.

--
                         - Jean-Luc

Tiger, c'est le rootkit ou c'est lui qui a lanc� chkrootkit pour justement v�rifier l'int�grit� du syst�me ? /usr/lib/tiger appartient au package tiger mais pas au rootkit du m�me nom ...

J'ai eu l'occasion d'enlever Tiger � la main sur une machine qu'il
�tait impossible de r�installer. C'est long mais faisable. Par contre
je ne me souviens plus du tout ce qu'il a fallu que je fasse.

Je vais essayer de r�cup�rer un max d'info ce week-end, puis je

demande

la reinstallation Lundi � la premi�re heure...

A priori tu ne pourras pas r�cup�rer grand chose de l'intrusion, si
c'est � �a que tu fais allusion. Attention tout de m�me car Tiger
installe son propre ssh. Dangereux.

Existe-t-il de la documentation pour savoir a peu pr�s comment r�agir

dans

ces situations la ?

Oui, j'ai le souvenir d'avoir lu un protocole de d�sinfection trouv�
sur le net, mais j'avoue ne plus me souvenir o�. Tu devrais pouvoir
trouver des liens avec le CERT.

Sinon, je crois que Tiger ne touche pas � 'sum' et 'rsync', du coup
moi j'avais rsync� quelques binaires (genre ls, ps, netstat, etc...)
dans un coin tranquille, et utilis� ceux-ci pour la d�sinfection.

L'id�al:

1- D�brancher la machine du net
2- Dump du disque (sans le booter bien s�r)
3- R�install from scratch
4- R�cup�ration (� la pince � �piler) des infos depuis le dump

Attention, certains fichiers de config sont modifi�s par Tiger,
notament /etc/inetd.conf, pour relancer ses services, et probablement
/etc/inittab ou /etc/modu* pour installer le module servant � Hider
tout un tas de choses.

Bon W-E :)

pgpQx0Phcj7m2.pgp
Description: PGP signature