Juste une pr�cisation, il ne s'agit pas de hackers mais de crackers. Tr�s rarement un hacker oeuvre pour le mal, la pluspart du temps un hacker est tr�s utile � l'informatique (voir Linus Torvalds).
ciao, Leo Il 09:33, gioved� 06 giugno 2002, hai scritto: > On Thursday 06 June 2002 02:00, Martial Guex wrote: > > Ouaaaa merci, je n'ai jamais envisag� ce genre d'infection. Avec ce genre > > de truc il est posible de ne pas pouvoir faire un syst�me de restauration > > sans une intervention hard. > > Disons que c'est quand m�me l'une des situation les plus extr�me. Comme > ultime attaque, je vois le hacker remplac� l'int�gralit� de l'int�rieur du > PC avec des trusc � lui. C'est possible mais cela concerne des gens qui > n'�voluent sans doute pas dans les m�mes sph�res que nous. N'oublions pas > que la tr�s grande majorit� des hackers cherchent � vol� de la bande > passante, du CPU ou la possibilit� d'envoyer des spams � partir de votre > syst�me (avant que vous ne soyez mis dans une liste de > spammers/open-relay). C'est donc avant-tout contre ce genre de tentative > qu'il faut consacrer ses efforts. > > Pour en revenir � l'attaque dont Blaise �t� victime, on ne peut affirmer > que l'attaquant n'a rien fait d'autre. Alors que ftp ne permet pas (du > moins directement) d'obtenir un compte root, on peut se poser la question > de savoir ce que ce type a bien pu faire pour y parvenir... La seule chose > d�couverte, pour l'instant, est ce compte root... Or, un jours, un hacker > de tr�s haut niveau qui avait infect� une machine en y > installant/rempla�ant des programmes � lui, senti qu'il �tait sur le point > d'�tre d�couvert. Il copia alors /bin/sh dans /tmp et mit SUID. Puis il > cr�a un compte root dans password (+shadow). Son but �tait de faire croire > qu'il n'�tait qu'un hacker pas trop sophistiqu� et qu'il suffisait de > r�soudre ces deux probl�mes pour couper son acc�s (il avait laisser plein > de back-doors). Ce qu'il ne savait pas c'est qu'il avait attaqu� une > machine destin�e � attirer les hackers et que toutes ses activit�s avaient > �t� soigneusement suivies depuis le d�but ! > > Conclusion : S'il existe un compte root, il y a de fortes probabilit�s > qu'il existe encore d'autres choses sur cette machine. En l'absence de > r�f�rences (checksum des binaires de la distrib), il est quasi impossible > de d�tecter si un, ou des, codesont �t� modifi�s. > > > Ce serai interesent de faire une petite marche � suivre permettant > > d'annalyser l'�tat d'un syst�me et de le restaurer en cas de doute. J'ai > > quelques id�es que je couche en vrac pour voir si cela inspire quelques > > personnes. > > Il existe d�j� un certain nombre de solutions. En autre v�rification des > droit d'acc�s des fichiers, etc. on les appelle des "scanneurs" : COPS, > Tiger, Nabou. Aussi des d�tecteurs de scan (intrusion r�seau). : Klaxon, > Courtney, Scanlogd, PorSentry. Puis des analyseurs de journaux : Logcheck, > Swatch, LogSurfer. On peut aussi mentionner : Tripwire et AIDE. > > Tes id�es sont exellentes mais il faudrait essayer d'utiliser l'existant > pour gagner du temps. > > > Cr�ation d'un cd bootable adapter � une config permettant de : > > Pour un vrai firewall, il existe des solution qui ont tes les ex�cutables > sur CD et un max de s�curit�s d�j� int�gr�es. > > Daniel > -- > http://www-internal.alphanet.ch/linux-leman/ avant de poser > une question. Ouais, pour se d�sabonner aussi. -- Una vita solitaria non sarebbe cos� triste, se non dovessi passarla con me stesso. - Leo Ortolani -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
