Juste une précisation, il ne s'agit pas de hackers mais de crackers. Très rarement un hacker oeuvre pour le mal, la pluspart du temps un hacker est très utile à l'informatique (voir Linus Torvalds).
ciao, Leo Il 09:33, giovedì 06 giugno 2002, hai scritto: > On Thursday 06 June 2002 02:00, Martial Guex wrote: > > Ouaaaa merci, je n'ai jamais envisagé ce genre d'infection. Avec ce genre > > de truc il est posible de ne pas pouvoir faire un système de restauration > > sans une intervention hard. > > Disons que c'est quand même l'une des situation les plus extrème. Comme > ultime attaque, je vois le hacker remplacé l'intégralité de l'intérieur du > PC avec des trusc à lui. C'est possible mais cela concerne des gens qui > n'évoluent sans doute pas dans les mêmes sphères que nous. N'oublions pas > que la très grande majorité des hackers cherchent à volé de la bande > passante, du CPU ou la possibilité d'envoyer des spams à partir de votre > système (avant que vous ne soyez mis dans une liste de > spammers/open-relay). C'est donc avant-tout contre ce genre de tentative > qu'il faut consacrer ses efforts. > > Pour en revenir à l'attaque dont Blaise été victime, on ne peut affirmer > que l'attaquant n'a rien fait d'autre. Alors que ftp ne permet pas (du > moins directement) d'obtenir un compte root, on peut se poser la question > de savoir ce que ce type a bien pu faire pour y parvenir... La seule chose > découverte, pour l'instant, est ce compte root... Or, un jours, un hacker > de très haut niveau qui avait infecté une machine en y > installant/remplaçant des programmes à lui, senti qu'il était sur le point > d'être découvert. Il copia alors /bin/sh dans /tmp et mit SUID. Puis il > créa un compte root dans password (+shadow). Son but était de faire croire > qu'il n'était qu'un hacker pas trop sophistiqué et qu'il suffisait de > résoudre ces deux problèmes pour couper son accès (il avait laisser plein > de back-doors). Ce qu'il ne savait pas c'est qu'il avait attaqué une > machine destinée à attirer les hackers et que toutes ses activités avaient > été soigneusement suivies depuis le début ! > > Conclusion : S'il existe un compte root, il y a de fortes probabilités > qu'il existe encore d'autres choses sur cette machine. En l'absence de > références (checksum des binaires de la distrib), il est quasi impossible > de détecter si un, ou des, codesont été modifiés. > > > Ce serai interesent de faire une petite marche à suivre permettant > > d'annalyser l'état d'un système et de le restaurer en cas de doute. J'ai > > quelques idées que je couche en vrac pour voir si cela inspire quelques > > personnes. > > Il existe déjà un certain nombre de solutions. En autre vérification des > droit d'accès des fichiers, etc. on les appelle des "scanneurs" : COPS, > Tiger, Nabou. Aussi des détecteurs de scan (intrusion réseau). : Klaxon, > Courtney, Scanlogd, PorSentry. Puis des analyseurs de journaux : Logcheck, > Swatch, LogSurfer. On peut aussi mentionner : Tripwire et AIDE. > > Tes idées sont exellentes mais il faudrait essayer d'utiliser l'existant > pour gagner du temps. > > > Création d'un cd bootable adapter à une config permettant de : > > Pour un vrai firewall, il existe des solution qui ont tes les exécutables > sur CD et un max de sécurités déjà intégrées. > > Daniel > -- > http://www-internal.alphanet.ch/linux-leman/ avant de poser > une question. Ouais, pour se désabonner aussi. -- Una vita solitaria non sarebbe così triste, se non dovessi passarla con me stesso. - Leo Ortolani -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.