Intrusion shellbot

Philippe Monroux a écrit :

j'ai oublié de vous dire que chckrootkit me rapporte

Checking `bindshell'... INFECTED (PORTS: 1524 31337)

--

Moi j'avais : Checking `bindshell'... INFECTED (PORTS: 4000)
Et c'est rkhunter qui ma trouver le reste


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart4296591.XYpmyScKK3
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Tuesday 12 July 2005 02:03, snoopy(snoopy
<snoopy@home.snoopyouaib.com>) disait:

Salut,

Merci beaucoup, j'ai lu très attentivement tout le fil et testé
cacheproc au fur et à mesure des évolutions, apparemment je n'ai
pas de processus caché qui traine.
Reste à surveiller si la faille qui lui a permis de rentrer n'est
pas toujours la.

Il existe un package (debian-updates) qui liste les packages touchés
par les alertes sécurités émis par Debian. Ca ne prémunit pas contr e
les 0-days mais bon, c'est déjà plus pratique de faire ça à la
main... Jettez un coup d'oeil sur la page
http://www.steve.org.uk/Software/.
Dommage qu'il ne soit pas inclus en standard dans la distrib....
A+
--
Glennie
"L'ambition est le dernier refuge de l'échec"

--nextPart4296591.XYpmyScKK3
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iQEVAwUAQtP8A9HiioqkksXaAQJB3Af/dLGmeEYDHJ96dVcj8Nz7HydSDtT6ODk0
d0Qry3Qednm9Clormc/YoK0SJFvtiT2KkpDohVSr3qKnYYXeqqYdDGqCgi8erAAI
cOtvBwplixG2QCQZfdtc4JWpm9Wbd5Tq+Hfs/Lj2+BxqJ/zQhQaCwyQ0Z1UTnBAg
P/7y/m+2gpsmST78rGg4McKZ6YgUdRKFsSxzLVbmTL9L5xLih67F4yXjIG+O+rfW
bEjF0y7kkA1cs5CfnbwAxsqo0+Mu+2chWV2rIHw/66g3R7fQe6j2GTzhQGJlQeBT
V4PVeM9nKmZoyGH6a9ClY/8pLrWncaMJZ4psj998YrjQxPFUoG806g= Nf
-----END PGP SIGNATURE-----

--nextPart4296591.XYpmyScKK3--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart1789029.vIWnmMjYhJ
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Tuesday 12 July 2005 11:23, Philippe Monroux(Philippe Monroux
<spam.monroux-listesATwanadoo.fr@homelinux.org>) disait:

Salut,

/etc/.java/.systemPrefs/.system.lock
/etc/.java/.systemPrefs/.systemRootModFile
/etc/.java/deployment/

Je l'ai aussi sur plusieurs machine qui utilisent JVM de Sun.
--
Glennie
"L'ambition est le dernier refuge de l'échec"

--nextPart1789029.vIWnmMjYhJ
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iQEVAwUAQtP94NHiioqkksXaAQLoGwgAmnguqrO/ezoLeiCAyt8H+v7dfWE1h7p+
G+Hkjmp+M1fGKpQCVkcyjgtuGHQHjE1i60RZ1DmI4zvcWDHcTKhiNtzQZ8Ar73rs
Nbb5HiPLVjhBXLSSkhmwqMd1LEO2z8C8lplvLEz6+VmZZH/FgXwJV5+IbXLf1ZmO
UJPveAT/tVKjkTp2fWkSWFuShYNelgMioMMKRlSCZ8X3unau0BUTBbR9q3/oFCS/
Dob03LBhrouJi9qB2IcX6TzczE2tfR9hB4smRzgEK4165qE4FjLslOCRzNG6Mz4X
tN3BDbLmh6BYrhOpwlSMT/MiZ5OvMkfhIUEWEAaDmsNOz9YtWdG4nw= ¹Ic
-----END PGP SIGNATURE-----

--nextPart1789029.vIWnmMjYhJ--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

snoopy <snoopy@home.snoopyouaib.com> a écrit :

Par contre par sécurité un petit coup de chkroootkit ou mieux
rkhunter "http://www.rootkit.nl/projects/rootkit_hunter.html"

dommage qu'il n'y ait pas de package debian...

--
Philippe Monroux
Ile de la Reunion
E 55.3 S 21.5


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le mercredi 13 juillet 2005 à 06:28 +0400, Philippe Monroux a écrit :

Bonjour,

snoopy <snoopy@home.snoopyouaib.com> a écrit :


> Par contre par sécurité un petit coup de chkroootkit ou mieux
> rkhunter "http://www.rootkit.nl/projects/rootkit_hunter.html"

dommage qu'il n'y ait pas de package debian...

Je suis en train d'y travailler, en me basant sur le travail effectué en
début d'année par un DD sur une version antérieure de rkhunter.
J'aurai justement besoin de testeurs....

@++
Julien



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

Julien Valroff <julien-nospam@kirya.net> a écrit :

Je suis en train d'y travailler, en me basant sur le travail
effectué en début d'année par un DD sur une version antérieure de
rkhunter. J'aurai justement besoin de testeurs....

Ben si ça me détruit pas mon système qui représente 8 ans de boulot
y-a pas d'problème :o)

ph
--
2 escargots qui se croisent ça donnent deux amours classiques. 2
escargots qui font la route ensemble ça donnent deux amours
particulières.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le mer, 13 jui 2005, Philippe Monroux
<spam.monroux-listesATwanadoo.fr@homelinux.org> évrivait :

Bonjour,

Julien Valroff <julien-nospam@kirya.net> a écrit :

Je suis en train d'y travailler, en me basant sur le travail
effectué en début d'année par un DD sur une version an térieure de
rkhunter. J'aurai justement besoin de testeurs....

Ben si ça me détruit pas mon système qui représente 8 ans de boulot
y-a pas d'problème :o)

Là je ne saurais pas le garantir à 100% ! Je n'ai rien cassé sur mes deux
machines à moi pour le moment, mais on n'est jamais à l'abri de r ien.

Je poserai ici une fois mon repository fonctionnel et les paquets testà ©s de
façon plus approfondie...

@++

Bonjour,

snoopy <snoopy@home.snoopyouaib.com> a écrit :

En fait je vient de vérifier sur une machine d'un collègue sur laquelle
nous avons installer OpenExchange et donc Tomcat+Java et il apparait la
même arbo /etc/.java/
Donc je suppose qu'il ne faut pas s'inquiéter plus que cela.
Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter
"http://www.rootkit.nl/projects/rootkit_hunter.html" et ensuite lire le
fil que nous indique François Boisson qui est très instructif et lancer
son script pour trouver les processus caché (s'il y en a).

Bon. le prg de F. Boisson tout d'abord. Je l'avais installer à
l'époque de la version bash. Je viens de le réinstaller sous .deb ==>
mauvais log reporter par logcheck que voici :

Subject: Cron <root@zandette> /usr/bin/regarde
Fatal error: uncaught exception.

De plus chktootkit me renvoie ceci :

,----
| /usr/lib/realplay-10.0.4/share/default/.realplayerrc
|
| +/usr/lib/zope/lib/python/Products/Archetypes/content_driver/.DocBook.py.swp
|
| +/usr/lib/zope/lib/python/Products/COREBlog/help/.DS_Store
| /usr/lib/zope/lib/python/Products/COREBlog/stripogram/.DS_Store
|
| +/usr/lib/zope/lib/python/Products/COREBlog/.DS_Store
| /usr/lib/zope/lib/python/Products/COREBlog/dtml/.DS_Store
|
| +/usr/lib/zope/lib/python/Products/COREBlog/dtml/modules/.DS_Store
|
| +/usr/lib/zope/lib/python/Products/COREBlog/dtml/skin/.DS_Store
|
| +/usr/lib/zope/lib/python/Products/COREBlog/dtml/skin/default/.DS_Store
| /usr/lib/j2se/1.4/jre/.systemPrefs
|
| +/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
| /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
|
| +/usr/lib/cgi-bin/nut/.htaccess /usr/lib/mindi/rootfs/proc/.keep
| /usr/lib/mindi/rootfs/root/.profile /usr/lib/kaffe/.system
|
| /usr/lib/j2se/1.4/jre/.systemPrefs
|
| eth0: PACKET SNIFFER(/usr/sbin/prelude-nids[19379])
`----

Tout ça ne sont-ce point des faux positifs ? Surtout prelude-nids tout
de même.

par contre il me renvoie également

,----
| INFECTED (PORTS: 1524 31337)
`----

alors là une petite recherche me donne :

root # netstat -lnp | grep .*1524.*LISTEN
tcp 0 0 0.0.0.0:1524 0.0.0.0:* LISTEN 5530/portsentry
root # netstat -lnp | grep .*31337.*LISTEN
tcp 0 0 0.0.0.0:31337 0.0.0.0:* LISTEN 5530/portsentry

et

root # ps auwex | grep -w [5]530
root 5530 0.0 0.0 1520 500 ? Ss Jul04 0:00 /usr/sbin/portsentry -tcp
CONSOLE=/dev/console TERM=linux INIT_VERSION=sysvinit-2.86
PATH=/bin:/usr/bin:/sbin:/usr/sbin RUNLEVEL=3 runlevel=3 PWD=/
PREVLEVEL=N previous=N HOME=/ SHLVL=2 _=/usr/sbin/portsentry

C'est mon portsentry. Alors franchement chkrootkit....

--
Philippe Monroux
Ile de la Reunion
E 55.3 S 21.5


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Thu, 14 Jul 2005 07:01:39 +0400
Philippe Monroux <spam.monroux-listesATwanadoo.fr@homelinux.org> a
écrit:

Bon. le prg de F. Boisson tout d'abord. Je l'avais installer à
l'époque de la version bash. Je viens de le réinstaller sous .deb ==>
mauvais log reporter par logcheck que voici :

Subject: Cron <root@zandette> /usr/bin/regarde
Fatal error: uncaught exception.

Ca m'intéresse ça, que donne

$ chercheprocess

puis

$ strace /usr/bin/regarde


Le programme est assez simple et je ne comprends pas la raison de ce
segfault...


Merci


François Boisson


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

François Boisson <user.anti-spam@maison.homelinux.net> a écrit :

> Subject: Cron <root@zandette> /usr/bin/regarde Fatal error:
> uncaught exception.

Ca m'intéresse ça, que donne
$ chercheprocess

root # chercheprocess
Recherche de processus cachés F.Boisson Dec2003
...
0 processus caché(s) trouvé(s)

puis
$ strace /usr/bin/regarde

énormément de trucs dans le genre

open("28725/task", O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTORY) = 3
fstat64(3, {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
fcntl64(3, F_SETFD, FD_CLOEXEC) = 0
getdents64(3, /* 3 entries */, 1024) = 80
getdents64(3, /* 0 entries */, 1024) = 0
close(3) = 0
open("30291/task", O_RDONLY) = 3
close(3) = 0

suis obligé d'arrêter par ^C c

--
Philippe Monroux
Ile de la Reunion
E 55.3 S 21.5


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org