On Thursday 06 June 2002 02:00, Martial Guex wrote: > Ouaaaa merci, je n'ai jamais envisag� ce genre d'infection. Avec ce genre > de truc il est posible de ne pas pouvoir faire un syst�me de restauration > sans une intervention hard.
Disons que c'est quand m�me l'une des situation les plus extr�me. Comme ultime attaque, je vois le hacker remplac� l'int�gralit� de l'int�rieur du PC avec des trusc � lui. C'est possible mais cela concerne des gens qui n'�voluent sans doute pas dans les m�mes sph�res que nous. N'oublions pas que la tr�s grande majorit� des hackers cherchent � vol� de la bande passante, du CPU ou la possibilit� d'envoyer des spams � partir de votre syst�me (avant que vous ne soyez mis dans une liste de spammers/open-relay). C'est donc avant-tout contre ce genre de tentative qu'il faut consacrer ses efforts. Pour en revenir � l'attaque dont Blaise �t� victime, on ne peut affirmer que l'attaquant n'a rien fait d'autre. Alors que ftp ne permet pas (du moins directement) d'obtenir un compte root, on peut se poser la question de savoir ce que ce type a bien pu faire pour y parvenir... La seule chose d�couverte, pour l'instant, est ce compte root... Or, un jours, un hacker de tr�s haut niveau qui avait infect� une machine en y installant/rempla�ant des programmes � lui, senti qu'il �tait sur le point d'�tre d�couvert. Il copia alors /bin/sh dans /tmp et mit SUID. Puis il cr�a un compte root dans password (+shadow). Son but �tait de faire croire qu'il n'�tait qu'un hacker pas trop sophistiqu� et qu'il suffisait de r�soudre ces deux probl�mes pour couper son acc�s (il avait laisser plein de back-doors). Ce qu'il ne savait pas c'est qu'il avait attaqu� une machine destin�e � attirer les hackers et que toutes ses activit�s avaient �t� soigneusement suivies depuis le d�but ! Conclusion : S'il existe un compte root, il y a de fortes probabilit�s qu'il existe encore d'autres choses sur cette machine. En l'absence de r�f�rences (checksum des binaires de la distrib), il est quasi impossible de d�tecter si un, ou des, codesont �t� modifi�s. > Ce serai interesent de faire une petite marche � suivre permettant > d'annalyser l'�tat d'un syst�me et de le restaurer en cas de doute. J'ai > quelques id�es que je couche en vrac pour voir si cela inspire quelques > personnes. Il existe d�j� un certain nombre de solutions. En autre v�rification des droit d'acc�s des fichiers, etc. on les appelle des "scanneurs" : COPS, Tiger, Nabou. Aussi des d�tecteurs de scan (intrusion r�seau). : Klaxon, Courtney, Scanlogd, PorSentry. Puis des analyseurs de journaux : Logcheck, Swatch, LogSurfer. On peut aussi mentionner : Tripwire et AIDE. Tes id�es sont exellentes mais il faudrait essayer d'utiliser l'existant pour gagner du temps. > Cr�ation d'un cd bootable adapter � une config permettant de : Pour un vrai firewall, il existe des solution qui ont tes les ex�cutables sur CD et un max de s�curit�s d�j� int�gr�es. Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
