Fran�ois TOURDE a �crit :
Le 12469i�me jour apr�s Epoch,
Yann Autissier �crivait:
Mon uptime est reparti de 0 au reboot, par contre chkrootkit
me renvoie deux lignes int�ressantes :
# chkrootkit
Searching for suspicious files and dirs, it may take a while...
/usr/lib/tiger/bin/.bintype
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
# lsof |grep ":1524"
# lsof |grep ":31337"
portsentr 1002 root 40u IPv4 2473 TCP
*:31337 (LISTEN)
portsentr 1006 root 30u IPv4 2547 UDP
*:31337
Super... Tu as gagn� le droit de la r�installer. Tiger est bien foutu
comme rootkit. En lui-m�me il ne fait pas de d�gats, mais donne la
main � des connect�s IRC ou SSH si mes souvenirs sont bons.
J'ai eu l'occasion d'enlever Tiger � la main sur une machine qu'il
�tait impossible de r�installer. C'est long mais faisable. Par contre
je ne me souviens plus du tout ce qu'il a fallu que je fasse.
Ok pour la r�installation, ca va faire plaisir � mon h�bergeur.
Je ne pensai pas avoir laiss� bcp de portes d'entr�es.
Connait-t-on le(s) service(s) au(x)quel(s) s'attaque tiger, ou
est-ce que tiger n'est qu'un rootkit qui a �t� install� apr�s l'intrusion.
Je vais essayer de r�cup�rer un max d'info ce week-end, puis je demande
la reinstallation Lundi � la premi�re heure...
A priori tu ne pourras pas r�cup�rer grand chose de l'intrusion, si
c'est � �a que tu fais allusion. Attention tout de m�me car Tiger
installe son propre ssh. Dangereux.
Les seules infos auxquelles je tiens � pr�sent, c'est celles de mes
clients :~!
Apr�s si d'autres infos sur le syst�me peuvent int�resser, je suis pr�t
� les rapatrier,
mais je ne saurai pas en faire gd chose.
Existe-t-il de la documentation pour savoir a peu pr�s comment r�agir dans
ces situations la ?
Oui, j'ai le souvenir d'avoir lu un protocole de d�sinfection trouv�
sur le net, mais j'avoue ne plus me souvenir o�. Tu devrais pouvoir
trouver des liens avec le CERT.
Sinon, je crois que Tiger ne touche pas � 'sum' et 'rsync', du coup
moi j'avais rsync� quelques binaires (genre ls, ps, netstat, etc...)
dans un coin tranquille, et utilis� ceux-ci pour la d�sinfection.
L'id�al:
1- D�brancher la machine du net
2- Dump du disque (sans le booter bien s�r)
3- R�install from scratch
4- R�cup�ration (� la pince � �piler) des infos depuis le dump
Ok c'est not� pour la proc�dure ...
Maintenant j'avais pas pr�vu mon aller-retour Marseille/Paris cette semaine.
Je vais surement voir ca avec le service technique de mon h�bergeur
(ikoula).
Ce sera une bonne occasion de tester leur r�activit� ;)
Attention, certains fichiers de config sont modifi�s par Tiger,
notament /etc/inetd.conf, pour relancer ses services, et probablement
/etc/inittab ou /etc/modu* pour installer le module servant � Hider
tout un tas de choses.
Apparemment pas de traces de ces modifications : inetd ne tourne pas, et
tous
les services sont d�sactiv�s ds /etc/inetd.conf.
Le fichier /etc/inittab parait intact, ainsi que les fichiers de modules.
Mais je ne fais plus trop confiance � mes yeux ces temps ci !
Bon W-E :)
Merci, de m�me.
Yann
