rootkit

Le
Bastien Durel
Bonjour,

J'ai trouvé sur une machine dont je m'occupe un shell bindé sur le port
31337 qui s'identifie comme suit : "Welcome!psyBNC@lam3rz.de NOTICE *
:psyBNC2.3.2-4"

il était accompagné d'un fichier /dev/shm/.,/php/cmd.txt avec un gros
tas de php dedans, d'un bon nombre de binaires modifiés et accompagnés
des attributs sia Heureusement, rm faisait un semgentation fault, et
j'ai pu m'en apercevoir à ce moment.
chkrootkit me signale différentes choses désagréables telles que :
Checking `lkm' You have 65 process hidden for readdir command
You have 69 process hidden for ps command
Checking `sniffer' eth0: PROMISC
Searching for Romanian rootkit /usr/include/file.h /usr/include/proc.h
Searching for Showtee Warning: Possible Showtee Rootkit installed

J'ai aussi trouvé un vieux ssh (SSH-1.5-2.0.13) sur le port 88, et un
serveur irc sur le 6667

On me dit "pas le temps de réinstaller", alors, avez-vous une idée de
comment j'ai pu attraper cette saleté ? Un exploit php puis un exploit
local pour escalade de privilèges ? Mon kernel est un 2.6.18.1, il me
semble qu'il y a eu des alertes ensuite Mais bon "pas le temps de
mettre à jour, on va pas passer notre temps à redémarrer" :/

Merci,

--
Bastien
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sebastiaan 'CrashandDie' Lauwers
Le #869525
Bastien Durel wrote:
Bonjour,


Salutations,

On me dit "pas le temps de réinstaller", alors, avez-vous une idée de
comment j'ai pu attraper cette saleté ? Un exploit php puis un exploit
local pour escalade de privilèges ? Mon kernel est un 2.6.18.1, il me
semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de
mettre à jour, on va pas passer notre temps à redémarrer" :/


"Les idiots ont souvent le droit de vote, c'est comme ça qu'on s'éduque !"

Un noyau 2.6.18.1, c'est vaste pour trouver des failles, ça dépend
franchement du reste des logiciels installés, et aussi, de leurs
versions respectives, avec ou sans patchs de sécurité appliqués...

Il y a aussi les logiciels sur les logiciels, je parle bien entendu des
scripts PHP, qui peuvent grandement compromettre la sécurité d'un
système dans certains cas bien précis...

Possible d'avoir une liste plus exhaustive ?

Merci,


HTH,

S.

octane
Le #869524
On 13 juin, 11:17, Bastien Durel
J'ai trouvé sur une machine dont je m'occupe un shell bindé sur le port
31337 qui s'identifie comme suit : "Welcome! NOTICE *
:psyBNC2.3.2-4"

ta machine est compromise


il était accompagné d'un fichier /dev/shm/.,/php/cmd.txt avec un gros
tas de php dedans, d'un bon nombre de binaires modifiés et accompagnés
des attributs sia ... Heureusement, rm faisait un semgentation fault, et
j'ai pu m'en apercevoir à ce moment.


!!!

chkrootkit me signale différentes choses désagréables telles que :
Checking `lkm'... You have 65 process hidden for readdir command
You have 69 process hidden for ps command
Checking `sniffer'... eth0: PROMISC


bon, tu dois prendre en compte l'eventualite que tous tes mots de
passe sont compromis.

Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h
Searching for Showtee... Warning: Possible Showtee Rootkit installed

J'ai aussi trouvé un vieux ssh (SSH-1.5-2.0.13) sur le port 88, et un
serveur irc sur le 6667

On me dit "pas le temps de réinstaller"


c'est la pire reponse que l'on a pu te faire.

alors, avez-vous une idée de
comment j'ai pu attraper cette saleté ? Un exploit php


pas forcement, mais il y a de grandes chances. Lorsque tu
auras tout remis a plat, etudies le code avant de remettre
le site en service.

puis un exploit local pour escalade de privilèges ?


sans doute.

Mon kernel est un 2.6.18.1, il me
semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de
mettre à jour, on va pas passer notre temps à redémarrer" :/

bon, bin, diffuses l'adresse IP de la machine dans un max

d'emplacements (forums web alc).
Dans quelques temps, la page d'accueil de ton site web
aura une tete de mort, le serveur d'email ajoutera une pub
pour des pilules bleues a chaque email emis, la masse des
telechargements sur emule fera tomber ta BP, et ca finira
par un rm -rf /

Mais bah, "on" a pas le temps, hein?

Xavier Roche
Le #869523
wrote:
Dans quelques temps, la page d'accueil de ton site web
aura une tete de mort, le serveur d'email ajoutera une pub


Les machines rootées sont également très recherchées pour constituer des
noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en
round(robin (sites pornos "très spéciaux", piratage de logiciels,
médicaments contrefaits, arnaques fiscales, etc.)

Amha également, il faudrait "avoir le temps" de scratcher cette machine.

Nina Popravka
Le #869522
On 14 Jun 2007 07:45:36 GMT, Xavier Roche

Amha également, il faudrait "avoir le temps" de scratcher cette machine.


Ou avoir le budget pour payer quelqu'un de compétent pour la remettre
en état standard, si c'est faisable.
--
Nina

octane
Le #869521
On 14 juin, 09:45, Xavier Roche
Dans quelques temps, la page d'accueil de ton site web
aura une tete de mort, le serveur d'email ajoutera une pub


Les machines rootées sont également très recherchées pour constituer des
noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en
round(robin (sites pornos "très spéciaux", piratage de logiciels,
médicaments contrefaits, arnaques fiscales, etc.)

ah oui, mais l'idee c'est de diffuser l'IP sur tous les webforums

securite (a deux balles) qui pullulent de pirates (a deux
balles aussi). Il seront tous tellement fiers de pouvoir
montrer un site web "defaced by dark abaddon lord of 666" que
la machine sera en vrac tres vite :)
L'idee (malsaine, mais je l'enonce tout de meme) c'est d'eduquer
le decideur laxiste par l'exemple que la securite info, c'est
important, en temps, en argent et en surveillance.

Ensuite, stop badware de google ne s'embarrasse pas autant
lorsqu'il faut bannir un site web; et la le risque m'apparait
beaucoup plus reel.

Enfin, je pense que le posteur originel ne va pas pourrir
volontairement son serveur, mais ca pourra peut etre servir
d'arguments au decideur presse pour prendre le temps qu'il
faudra sur ce probleme.

Amha également, il faudrait "avoir le temps" de scratcher cette machine.


euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?


Fabien LE LEZ
Le #869520
On 14 Jun 2007 09:16:15 GMT, :

Amha également, il faudrait "avoir le temps" de scratcher cette machine.


euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?


Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce
qui est effectivement la seule chose à faire.
Évidemment, avoir une archive Mondo (ou même partimage) aurait permis
de faire ça en quelques minutes.


Bastien Durel
Le #869519
Le 14/06/2007 18:21, * Fabien LE LEZ wrote:
On 14 Jun 2007 09:16:15 GMT, :

Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait

le temps de la "scratcher"?


Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce
qui est effectivement la seule chose à faire.
Évidemment, avoir une archive Mondo (ou même partimage) aurait permis
de faire ça en quelques minutes.
Je ne vous le fait pas dire ...

J'ai probablement mis plus de temps à *peut-être* éradiquer le machin
"dans l'urgence" que je n'en aurait mis à réinstaller la machine.

mais je ne désespère pas de réussir à obtenir une réinstallation ...

--
Bastien



unknow
Le #869337
l'exploit etait un RFI et le bindshell c'est celui la
http://packetstormsecurity.org/UNIX/penetration/rootkits/backd00r.c :P
avec des outils comme lsof , ps , strace , ltrace , ldd faites un tri
de tous les process qui accede au web et qui ne sont pas legitime et
tuer les uns a uns ( c'est pas la meilleur solution mais bon ).
Publicité
Poster une réponse
Anonyme