Analyse post-mortem de journaux

Le
Vincent Besse
Bonjour,

Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.

J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root à
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' à jeudi, depuis plus rien.
En analysant à tête reposée le .bash_history de root, je retrouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la même adresse IP,
établie elle aussi du premier coup. Je suppose donc que je me suis fait
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
chargés en deux fois
Là où ça se corse, c' est que dans les logs d' Apache, les premières
traces de téléchargement de ces fichiers datent du 13! Moi plus
comprendre.

Si un expert a une once de début d' explication

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Boisson
Le #18956001
Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.[...]



* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un
des scripts PHP qui a permis au gars de charger un script PHP lui servant de
shell local.

* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
passe root inscrit en clair, quand on tape vite et en urgence, il peut
apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
ce mot de passe sous la racine.

* Ta machine était elle à jour?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Alain Baeckeroot
Le #18955991
Le 22/03/2009 à 13:54, Vincent Besse a écrit :

Bonjour,

Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.

J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root à
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' à jeudi, depuis plus rien.
En analysant à tête reposée le .bash_history de root, je retrouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la même adresse IP,
établie elle aussi du premier coup. Je suppose donc que je me suis fait
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
chargés en deux fois...
Là où ça se corse, c' est que dans les logs d' Apache, les premiè res
traces de téléchargement de ces fichiers datent du 13! Moi plus
comprendre.

Si un expert a une once de début d' explication...

Vincent




Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant
les connections illicites.

Les logs sont ils complets et intègres ? Une fois la machine compromise
on doit douter de tout (et bien sur formatter et tout réinstaller)

Pour une machine importante, envoyer les logs sur un autre serveur, ou
les écrire sur un support WORM (write once, read many) en temps réel.
(man rsyslogd.conf :-) )

N'y a-t-il pas un autre compte root créé du genre r00t ?

Désolé je n'ai pas plus d'idée.
Alain

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
julien
Le #18957011
Salut,

Est-ce que tu as une partition spécifique pour /tmp avec les options
noexec,nosuid ? c'est toujours bon de le faire (les endroits ou
www-data peut écrire : /tmp /var/tmp).

J'ai déjà reçu une attaque à cause d'une faille php à   mon avis. Le
gars a écrit des fichiers dans /tmp et les a executé pour ouvrir u n
autre port ...
Est-ce qu'une faille du même genre ne pourrais pas permettre de
récupérer ton fichier shadow et par brute force de découvrir ton mot
de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre
le controle complet ? D'où les logs précedent l'intrusion.

Question pour la liste : Est-ce que c'est un scénario possible ?

Julien.

Quoting Vincent Besse
Bonjour,

Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.

J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root à
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' à jeudi, depuis plus rien.
En analysant à tête reposée le .bash_history de root, je re trouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la même adresse I P,
établie elle aussi du premier coup. Je suppose donc que je me suis fa it
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
chargés en deux fois...
Là où ça se corse, c' est que dans les logs d' Apache, les premières
traces de téléchargement de ces fichiers datent du 13! Moi plus
comprendre.

Si un expert a une once de début d' explication...

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Boisson
Le #18957251
Le Sun, 22 Mar 2009 19:07:10 +0100
a écrit:

Est-ce qu'une faille du même genre ne pourrais pas permettre de
récupérer ton fichier shadow et par brute force de découvrir ton mot
de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre
le controle complet ? D'où les logs précedent l'intrusion.

Question pour la liste : Est-ce que c'est un scénario possible ?



Oui, j'ai fait passer un fichier de mot de passe à JohnTheRipper de 300
comptes et 60% des mots de passe sont trouvés en 2 jours.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Besse
Le #18957821
On Sun, 22 Mar 2009 16:28:14 +0100
François Boisson
Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse
> Petit historique des événements. Mardi soir (le 17) en remontant da ns
> l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> inconnus (dont celui du wget en question) dans /var/www. Recopie de
> ces fichiers pour analyse ultérieure et effacement de /var/www,
> changement de mdp, fermeture de l' accès root SSH.[...]

* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
n'as pas un appel direct d'une page PHP. Tu as peut être une faille dan s un
des scripts PHP qui a permis au gars de charger un script PHP lui servant de
shell local.



Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans
PHP :)
Pas de requête de cette adresse non plus.

* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
passe root inscrit en clair, quand on tape vite et en urgence, il peut
apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
ce mot de passe sous la racine.



le bash_history d' Apache ?


* Ta machine était elle à jour?



Pas du jour même mais moins d' une semaine.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Besse
Le #18957921
On Sun, 22 Mar 2009 19:07:10 +0100
wrote:

Salut,

Est-ce que tu as une partition spécifique pour /tmp avec les options
noexec,nosuid ? c'est toujours bon de le faire (les endroits ou
www-data peut écrire : /tmp /var/tmp).



non mais je retiens pour la réinstallation, merci.

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Besse
Le #18958161
On Sun, 22 Mar 2009 16:27:21 +0100
Alain Baeckeroot

Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jour s avant
les connections illicites.



Pas tout à fait. Ou c' est moi qui comprend mal ce t' as compris. Je
retrouve dans les logs Apache des requêtes _servies_ pour des fichiers
qui à priori n' y ont été déposés que 4 jours plus tard.

Les logs sont ils complets et intègres ? Une fois la machine compromise
on doit douter de tout (et bien sur formatter et tout réinstaller)



J' ai rien remarqué d' anormal. Et je me dis que s' "il" avait
bidouillé les logs, "il" aurait effacé ses traces dans auth.log.

Pour une machine importante, envoyer les logs sur un autre serveur, ou
les écrire sur un support WORM (write once, read many) en temps réel.
(man rsyslogd.conf :-) )



Il ne s' agissait que d' un serveur dédié perso sans données ultra
vitales.

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Besse
Le #18958371
On Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse
[...]


> * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas l e mot de
> passe root inscrit en clair, quand on tape vite et en urgence, il peut
> apparaitre dans le bash_history. Une fois j'ai même trouvé un fichi er de nom
> ce mot de passe sous la racine.

le bash_history d' Apache ?



Par contre dans le bash_history de root, en y regardant de plus près,
dans la liste de commandes que j' attribue à mon cher inconnu, il y a un
'mc' et un '' (tout seul sur sa ligne ??). Les commandes faites dans mc
sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs
sans être vu.

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
David Prévot
Le #18958591
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Vincent Besse a écrit :

Par contre dans le bash_history de root, en y regardant de plus près,


[...]
sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs
sans être vu.



Il est encore plus simple d'effacer le contenu de bash_history...

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAknGr70ACgkQ18/WetbTC/o28ACePi1yn50hEVY+QBSGdyiFIAe0
/aoAnjWCpNda56flqgfn/QcVVAzQc1cN
=Wciy
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Boisson
Le #18958701
Le Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse

le bash_history d' Apache ?




Oui, ou plutôt celui de www-data sous /var/www.

>
> * Ta machine était elle à jour?

Pas du jour même mais moins d' une semaine.



Que donne la commande «last -f /var/log/wtmp» sur les logins des derniers
jours avant l'intrusion?

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme