Bonjour à tous
Je viens d'être victime d'un rootkit (suckit!). Je ne suis pas, loin
s'en faut un expert, mais j'ai quand même essayé de comprendre.
Cependant, il reste encore bien des zones d'ombre dans ma pauvre
cervelle:-) Pouvez vous m'aider? (j'ai sûrement commis des imprundences
dans ma config, je vais sûrement écrire des énormités,...pour tout ça,
merci de votre indulgence:-)
Ma config est la suivante:
Lan de 4 pc windows (98 et xp)
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec
iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me
suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3
services accessible de l'extérieur :
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles".
(est ce le bon terme? accessibles est il plus approprié?)
Les règles iptables sont donc:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
pareil (avec 80 et 10 000)
1° précision : root peut se connecter en ssh. Je crois avoir compris que
c'était une connerie:-( ?
sinon mes questions sont:
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de
root non?
-Alors qu'est ce que ça lui apporte de plus ce truc là?
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce
vraiment une sécurité supplémentaire?
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
Un rootkit est un kit (comprendre un truc tout pret) pour obtenir la main sur une machine. Ca exploite habituellement des bugs connus dans des applis (daemon, script php, ...).
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de root non?
Pas necessairement. Tu tournes avec un linux 2.4.20 (donc probablement avec les bugs ptrace, je ne sais pas si cette version redhat a des backports...) ce qui permet d'elever les droits d'un processus, avoir juste une appli lancee en local (meme en tant que apache) suffit a devenir root. Tu as aussi un apache, probablement php et des pages dans ton espace web (un phpbb ?), la moindre faille dans l'un d'eux permettait a quiconque (plus ou moins directement) de devenir root.
-Alors qu'est ce que ça lui apporte de plus ce truc là?
Une machine de plus pour faire un DDOS, envoi de spam, proxy anonyme, que sais-je...
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce vraiment une sécurité supplémentaire?
Oui et non...
Ta machine n'a visiblement pas du soft tres a jour, meme avec un mot de passe root introuvable, ca se serait passe. La personne qui est entre a surement utilise un chemin detourne. Cependant, un ver a la mode essaye les mots de passe courants sur les comptes usuels, donc avoir au moins autre chose que le couple root/toto est obligatoire.
L'essentiel a l'avenir est surtout de tenir les paquets de ta distribution a jour, suivre les annonces de securite.
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
Un rootkit est un kit (comprendre un truc tout pret) pour obtenir la
main sur une machine. Ca exploite habituellement des bugs connus dans
des applis (daemon, script php, ...).
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de
root non?
Pas necessairement. Tu tournes avec un linux 2.4.20 (donc probablement
avec les bugs ptrace, je ne sais pas si cette version redhat a des
backports...) ce qui permet d'elever les droits d'un processus, avoir
juste une appli lancee en local (meme en tant que apache) suffit a
devenir root.
Tu as aussi un apache, probablement php et des pages dans ton espace web
(un phpbb ?), la moindre faille dans l'un d'eux permettait a quiconque
(plus ou moins directement) de devenir root.
-Alors qu'est ce que ça lui apporte de plus ce truc là?
Une machine de plus pour faire un DDOS, envoi de spam, proxy anonyme,
que sais-je...
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce
vraiment une sécurité supplémentaire?
Oui et non...
Ta machine n'a visiblement pas du soft tres a jour, meme avec un mot de
passe root introuvable, ca se serait passe. La personne qui est entre a
surement utilise un chemin detourne. Cependant, un ver a la mode essaye
les mots de passe courants sur les comptes usuels, donc avoir au moins
autre chose que le couple root/toto est obligatoire.
L'essentiel a l'avenir est surtout de tenir les paquets de ta
distribution a jour, suivre les annonces de securite.
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
Un rootkit est un kit (comprendre un truc tout pret) pour obtenir la main sur une machine. Ca exploite habituellement des bugs connus dans des applis (daemon, script php, ...).
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de root non?
Pas necessairement. Tu tournes avec un linux 2.4.20 (donc probablement avec les bugs ptrace, je ne sais pas si cette version redhat a des backports...) ce qui permet d'elever les droits d'un processus, avoir juste une appli lancee en local (meme en tant que apache) suffit a devenir root. Tu as aussi un apache, probablement php et des pages dans ton espace web (un phpbb ?), la moindre faille dans l'un d'eux permettait a quiconque (plus ou moins directement) de devenir root.
-Alors qu'est ce que ça lui apporte de plus ce truc là?
Une machine de plus pour faire un DDOS, envoi de spam, proxy anonyme, que sais-je...
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce vraiment une sécurité supplémentaire?
Oui et non...
Ta machine n'a visiblement pas du soft tres a jour, meme avec un mot de passe root introuvable, ca se serait passe. La personne qui est entre a surement utilise un chemin detourne. Cependant, un ver a la mode essaye les mots de passe courants sur les comptes usuels, donc avoir au moins autre chose que le couple root/toto est obligatoire.
L'essentiel a l'avenir est surtout de tenir les paquets de ta distribution a jour, suivre les annonces de securite.
Emmanuel Florac
Le Sun, 16 Jan 2005 16:11:38 +0000, Georges ALMA a écrit :
Bonjour à tous Je viens d'être victime d'un rootkit (suckit!).
Pas de chance...
Ma config est la suivante: Lan de 4 pc windows (98 et xp) Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec iptables(eth0-->LAN - eth1-->internet adsl) .
Premier problème : RH9 est très vieux, plus du tout supporté et pleins de trous. Pour faire un routeur il vaut mieux une distrib bétonnée et bien suivie, comme Debian stable, Slackware, RockLinux, etc...
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles". (est ce le bon terme? accessibles est il plus approprié?)
Les 3 sont susceptibles d'être un point d'entrée... Webmin est assez peu sécurisé et il est très vivement recommandé de filtrer le port, et en tout cas de ne pas permettre l'administration depuis n'importe quelle IP.
Apache est rarement trop critique, le problème est que la version "stock" de RH9 a plusieurs failles graves qui permettent d'obtenir un shell non root, et comme la RH a d'autres failles qui permettent le "root escalation" tu es dedans...
Enfin ssh : si UN SEUL de tes comptes a un mot de passe faible, tu es mort. Personnellement j'ai un accès ssh ouvert mais l'accès par mot de passe est désactivé, il faut obligatoirement une clef d'accès (ce qui limite à quelques machines, mais pas par l'IP : je peux me connecter de n'importe où avec mon portable pour accéder à ma machine).
1° précision : root peut se connecter en ssh. Je crois avoir compris que c'était une connerie:-( ?
Ce qui ne te tue pas te rend plus fort... C'est une HÉNAURME connerie.
sinon mes questions sont: -En qq mots (si c'est possible) qu'est ce qu'un rootkit?
C'est probablement expliqué là: http://www.linux-france.org/prj/jargonf/
En gros c'est un troyen pour unix. Ça ouvre des portes cachées supplémentaires pour revenir, ça permet au cracker d'effacer ses traces, etc...
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de root non?
Pas forcément. Il suffit souvent d'un accès sur un compte quelconque (par exemple un compte avec un mot de passe simple ou via une failled e sécu par exemple apache), ensuite il faut trouver une faille qui permette de passer root depuis un compte non privilégié (root escalation).
-Alors qu'est ce que ça lui apporte de plus ce truc là?
Si ta machine était bien surveillée, le rootkit permet d'effacer les traces du cracker par plusieurs biais :
-effacement des logs. -remplacement de certains utilitaires et/ou librairies (genre top, ps, w, who, etc) pour que l'activité du pirate soit invisible au niveau des processus. -remplacement de ls et autres, afin que les fichiers du pirate soient invisibles (généralement cachés dans un dossier style ... ou '.. '
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce vraiment une sécurité supplémentaire?
Oui. Cependant avoir un accès root en ssh est absurde. Et les utilisateurs accessibles par le ssh doivent aussi avoir des mots de passes solides.
-- Ne pas savoir de quoi on parle est un avantage dont il ne faut pas abuser. R.Debray
Le Sun, 16 Jan 2005 16:11:38 +0000, Georges ALMA a écrit :
Bonjour à tous
Je viens d'être victime d'un rootkit (suckit!).
Pas de chance...
Ma config est la suivante:
Lan de 4 pc windows (98 et xp)
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec
iptables(eth0-->LAN - eth1-->internet adsl) .
Premier problème : RH9 est très vieux, plus du tout supporté et pleins
de trous. Pour faire un routeur il vaut mieux une distrib bétonnée et
bien suivie, comme Debian stable, Slackware, RockLinux, etc...
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles".
(est ce le bon terme? accessibles est il plus approprié?)
Les 3 sont susceptibles d'être un point d'entrée... Webmin est assez peu
sécurisé et il est très vivement recommandé de filtrer le port, et en
tout cas de ne pas permettre l'administration depuis n'importe quelle IP.
Apache est rarement trop critique, le problème est que la version "stock"
de RH9 a plusieurs failles graves qui permettent d'obtenir un shell non
root, et comme la RH a d'autres failles qui permettent le "root
escalation" tu es dedans...
Enfin ssh : si UN SEUL de tes comptes a un mot de passe faible, tu es
mort. Personnellement j'ai un accès ssh ouvert mais l'accès par mot de
passe est désactivé, il faut obligatoirement une clef d'accès (ce qui
limite à quelques machines, mais pas par l'IP : je peux me connecter de
n'importe où avec mon portable pour accéder à ma machine).
1° précision : root peut se connecter en ssh. Je crois avoir compris que
c'était une connerie:-( ?
Ce qui ne te tue pas te rend plus fort... C'est une HÉNAURME connerie.
sinon mes questions sont:
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
C'est probablement expliqué là:
http://www.linux-france.org/prj/jargonf/
En gros c'est un troyen pour unix. Ça ouvre des portes cachées
supplémentaires pour revenir, ça permet au cracker d'effacer ses traces,
etc...
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de
root non?
Pas forcément. Il suffit souvent d'un accès sur un compte quelconque
(par exemple un compte avec un mot de passe simple ou via une failled e
sécu par exemple apache), ensuite il faut trouver une faille qui
permette de passer root depuis un compte non privilégié (root escalation).
-Alors qu'est ce que ça lui apporte de plus ce truc là?
Si ta machine était bien surveillée, le rootkit permet d'effacer les
traces du cracker par plusieurs biais :
-effacement des logs.
-remplacement de certains utilitaires et/ou librairies (genre top, ps, w,
who, etc) pour que l'activité du pirate soit invisible au niveau des
processus.
-remplacement de ls et autres, afin que les fichiers du pirate soient
invisibles (généralement cachés dans un dossier style ... ou '.. '
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce
vraiment une sécurité supplémentaire?
Oui. Cependant avoir un accès root en ssh est absurde. Et les
utilisateurs accessibles par le ssh doivent aussi avoir des mots de passes
solides.
--
Ne pas savoir de quoi on parle est un avantage dont il ne faut pas
abuser.
R.Debray
Le Sun, 16 Jan 2005 16:11:38 +0000, Georges ALMA a écrit :
Bonjour à tous Je viens d'être victime d'un rootkit (suckit!).
Pas de chance...
Ma config est la suivante: Lan de 4 pc windows (98 et xp) Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec iptables(eth0-->LAN - eth1-->internet adsl) .
Premier problème : RH9 est très vieux, plus du tout supporté et pleins de trous. Pour faire un routeur il vaut mieux une distrib bétonnée et bien suivie, comme Debian stable, Slackware, RockLinux, etc...
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles". (est ce le bon terme? accessibles est il plus approprié?)
Les 3 sont susceptibles d'être un point d'entrée... Webmin est assez peu sécurisé et il est très vivement recommandé de filtrer le port, et en tout cas de ne pas permettre l'administration depuis n'importe quelle IP.
Apache est rarement trop critique, le problème est que la version "stock" de RH9 a plusieurs failles graves qui permettent d'obtenir un shell non root, et comme la RH a d'autres failles qui permettent le "root escalation" tu es dedans...
Enfin ssh : si UN SEUL de tes comptes a un mot de passe faible, tu es mort. Personnellement j'ai un accès ssh ouvert mais l'accès par mot de passe est désactivé, il faut obligatoirement une clef d'accès (ce qui limite à quelques machines, mais pas par l'IP : je peux me connecter de n'importe où avec mon portable pour accéder à ma machine).
1° précision : root peut se connecter en ssh. Je crois avoir compris que c'était une connerie:-( ?
Ce qui ne te tue pas te rend plus fort... C'est une HÉNAURME connerie.
sinon mes questions sont: -En qq mots (si c'est possible) qu'est ce qu'un rootkit?
C'est probablement expliqué là: http://www.linux-france.org/prj/jargonf/
En gros c'est un troyen pour unix. Ça ouvre des portes cachées supplémentaires pour revenir, ça permet au cracker d'effacer ses traces, etc...
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de root non?
Pas forcément. Il suffit souvent d'un accès sur un compte quelconque (par exemple un compte avec un mot de passe simple ou via une failled e sécu par exemple apache), ensuite il faut trouver une faille qui permette de passer root depuis un compte non privilégié (root escalation).
-Alors qu'est ce que ça lui apporte de plus ce truc là?
Si ta machine était bien surveillée, le rootkit permet d'effacer les traces du cracker par plusieurs biais :
-effacement des logs. -remplacement de certains utilitaires et/ou librairies (genre top, ps, w, who, etc) pour que l'activité du pirate soit invisible au niveau des processus. -remplacement de ls et autres, afin que les fichiers du pirate soient invisibles (généralement cachés dans un dossier style ... ou '.. '
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce vraiment une sécurité supplémentaire?
Oui. Cependant avoir un accès root en ssh est absurde. Et les utilisateurs accessibles par le ssh doivent aussi avoir des mots de passes solides.
-- Ne pas savoir de quoi on parle est un avantage dont il ne faut pas abuser. R.Debray
Cedric Blancher
Le Sun, 16 Jan 2005 20:02:33 +0000, Nicolas Pouillon a écrit :
-En qq mots (si c'est possible) qu'est ce qu'un rootkit? Un rootkit est un kit (comprendre un truc tout pret) pour obtenir la
main sur une machine. Ca exploite habituellement des bugs connus dans des applis (daemon, script php, ...).
Hummm, pas vraiment. Un rootkit désigne plutôt l'ensemble des outils qui sert à dissimuler sa présence une fois qu'on est passé root sur la machine.
Cf. : http://www.chkrootkit.org/#related_links
-- en plus quand je vois le nombre de message sur ce groupe je me pose la question pour quoi Floriano veux détruire le ng il est aussi con le ceux qui ont voter pour la destruction ! -+- L in GNU - Hors-sujet ? C'est pas le sujet ! -+-
Le Sun, 16 Jan 2005 20:02:33 +0000, Nicolas Pouillon a écrit :
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
Un rootkit est un kit (comprendre un truc tout pret) pour obtenir la
main sur une machine. Ca exploite habituellement des bugs connus dans
des applis (daemon, script php, ...).
Hummm, pas vraiment.
Un rootkit désigne plutôt l'ensemble des outils qui sert à dissimuler
sa présence une fois qu'on est passé root sur la machine.
Cf. : http://www.chkrootkit.org/#related_links
--
en plus quand je vois le nombre de message sur ce groupe je me pose la
question pour quoi Floriano veux détruire le ng il est aussi con le
ceux qui ont voter pour la destruction !
-+- L in GNU - Hors-sujet ? C'est pas le sujet ! -+-
Le Sun, 16 Jan 2005 20:02:33 +0000, Nicolas Pouillon a écrit :
-En qq mots (si c'est possible) qu'est ce qu'un rootkit? Un rootkit est un kit (comprendre un truc tout pret) pour obtenir la
main sur une machine. Ca exploite habituellement des bugs connus dans des applis (daemon, script php, ...).
Hummm, pas vraiment. Un rootkit désigne plutôt l'ensemble des outils qui sert à dissimuler sa présence une fois qu'on est passé root sur la machine.
Cf. : http://www.chkrootkit.org/#related_links
-- en plus quand je vois le nombre de message sur ce groupe je me pose la question pour quoi Floriano veux détruire le ng il est aussi con le ceux qui ont voter pour la destruction ! -+- L in GNU - Hors-sujet ? C'est pas le sujet ! -+-
Emmanuel Florac
Le Mon, 17 Jan 2005 03:01:35 +0000, Xavier a écrit :
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir un utilisateur sudoer accesible par ssh et "PermiRootLogin yes"
Je crois avoir dit qu'il fallait 1° que tous les utilisateurs aient des MDP béton et 2° autant que faire se peut, soit filtrer par adresse IP, soit mieux, désactiver entièrement l'authentification via MDP... Si on ne peut pas se logger même en connaissant le bon MDP (et en ayant pas la clef) c'est très sûr. IL est facile de garder la clef sur soi, bien sûr, par exemple cryptée avec gpg sur une clef USB, ou dans un palm.
-- Ne pas savoir de quoi on parle est un avantage dont il ne faut pas abuser. R.Debray
Le Mon, 17 Jan 2005 03:01:35 +0000, Xavier a écrit :
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir
un utilisateur sudoer accesible par ssh et "PermiRootLogin yes"
Je crois avoir dit qu'il fallait 1° que tous les utilisateurs aient des
MDP béton et 2° autant que faire se peut, soit filtrer par adresse IP,
soit mieux, désactiver entièrement l'authentification via MDP...
Si on ne peut pas se logger même en connaissant le bon MDP (et en ayant
pas la clef) c'est très sûr. IL est facile de garder la clef sur soi,
bien sûr, par exemple cryptée avec gpg sur une clef USB, ou dans un palm.
--
Ne pas savoir de quoi on parle est un avantage dont il ne faut pas
abuser.
R.Debray
Le Mon, 17 Jan 2005 03:01:35 +0000, Xavier a écrit :
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir un utilisateur sudoer accesible par ssh et "PermiRootLogin yes"
Je crois avoir dit qu'il fallait 1° que tous les utilisateurs aient des MDP béton et 2° autant que faire se peut, soit filtrer par adresse IP, soit mieux, désactiver entièrement l'authentification via MDP... Si on ne peut pas se logger même en connaissant le bon MDP (et en ayant pas la clef) c'est très sûr. IL est facile de garder la clef sur soi, bien sûr, par exemple cryptée avec gpg sur une clef USB, ou dans un palm.
-- Ne pas savoir de quoi on parle est un avantage dont il ne faut pas abuser. R.Debray
Cedric Blancher
Le Mon, 17 Jan 2005 03:01:35 +0000, Xavier a écrit :
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir un utilisateur sudoer accesible par ssh et "PermiRootLogin yes" Si ssh n'est pas une version vulnérable, c'est strictement identique.
Non, parce que si l'utilisateur se logue par clé RSA comme précisé par Emmanuel, tu n'as pas le password pour valider le sudo. Si par contre tu utilises le même mécanisme (i.e. le même login/password) pour passer user, puis passer root, effectivement, aucun apport en terme de sécurité.
-- BOFH excuse #305:
IRQ-problems with the Un-Interruptible-Power-Supply
Le Mon, 17 Jan 2005 03:01:35 +0000, Xavier a écrit :
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir
un utilisateur sudoer accesible par ssh et "PermiRootLogin yes"
Si ssh n'est pas une version vulnérable, c'est strictement identique.
Non, parce que si l'utilisateur se logue par clé RSA comme précisé par
Emmanuel, tu n'as pas le password pour valider le sudo. Si par contre tu
utilises le même mécanisme (i.e. le même login/password) pour passer
user, puis passer root, effectivement, aucun apport en terme de sécurité.
--
BOFH excuse #305:
IRQ-problems with the Un-Interruptible-Power-Supply
Le Mon, 17 Jan 2005 03:01:35 +0000, Xavier a écrit :
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir un utilisateur sudoer accesible par ssh et "PermiRootLogin yes" Si ssh n'est pas une version vulnérable, c'est strictement identique.
Non, parce que si l'utilisateur se logue par clé RSA comme précisé par Emmanuel, tu n'as pas le password pour valider le sudo. Si par contre tu utilises le même mécanisme (i.e. le même login/password) pour passer user, puis passer root, effectivement, aucun apport en terme de sécurité.
-- BOFH excuse #305:
IRQ-problems with the Un-Interruptible-Power-Supply
Dominique Blas
Georges ALMA wrote:
Bonjour à tous Je viens d'être victime d'un rootkit (suckit!). Je ne suis pas, loin s'en faut un expert, mais j'ai quand même essayé de comprendre. Cependant, il reste encore bien des zones d'ombre dans ma pauvre cervelle:-) Pouvez vous m'aider? (j'ai sûrement commis des imprundences dans ma config, je vais sûrement écrire des énormités,...pour tout ça, merci de votre indulgence:-)
Ma config est la suivante: Lan de 4 pc windows (98 et xp) Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3 services accessible de l'extérieur : -sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles". (est ce le bon terme? accessibles est il plus approprié?) Les règles iptables sont donc: iptables -A INPUT -p tcp --dport 22 -j ACCEPT pareil (avec 80 et 10 000)
1° précision : root peut se connecter en ssh. Je crois avoir compris que c'était une connerie:-( ? Oui et non. Ca dépend de ce qu'on entend par root.
S'il s'agit de l'utilisateur << root >> ce n'est pas prudent mais voir ci-après. S'il s'agit d'un permitrootlogin=yes mais que le loginname root est interdit via a directive DenyUsers root et qu'un autre compte prend sa place (stoto, supervisor, etc) c'est moins risqué.
Quoi qu'il en soit, root ou pas root je conseille fortement de n'autoriser les accès SSH que depuis un jeu d'adresses en nombre limité, une demi dizaine tout au plus. Récemment, j'ai désactivé cette limite sur uen machine, pour voir. Et bien le résultat ne sest pas fait attendre (et entre 4 et 5h du mat) : des tentatives répétées, émanant de Hongrie, pour trouver le mot de passe de compte comme root, admin, super, master, etc. J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont dépendait l'adresse source de ces tentatives.
db
-- email : usenet blas net
Georges ALMA wrote:
Bonjour à tous
Je viens d'être victime d'un rootkit (suckit!). Je ne suis pas, loin
s'en faut un expert, mais j'ai quand même essayé de comprendre.
Cependant, il reste encore bien des zones d'ombre dans ma pauvre
cervelle:-) Pouvez vous m'aider? (j'ai sûrement commis des imprundences
dans ma config, je vais sûrement écrire des énormités,...pour tout ça,
merci de votre indulgence:-)
Ma config est la suivante:
Lan de 4 pc windows (98 et xp)
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec
iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me
suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3
services accessible de l'extérieur :
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles".
(est ce le bon terme? accessibles est il plus approprié?)
Les règles iptables sont donc:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
pareil (avec 80 et 10 000)
1° précision : root peut se connecter en ssh. Je crois avoir compris que
c'était une connerie:-( ?
Oui et non. Ca dépend de ce qu'on entend par root.
S'il s'agit de l'utilisateur << root >> ce n'est pas prudent mais voir
ci-après.
S'il s'agit d'un permitrootlogin=yes mais que le loginname root est interdit
via a directive DenyUsers root
et qu'un autre compte prend sa place (stoto, supervisor, etc) c'est moins
risqué.
Quoi qu'il en soit, root ou pas root je conseille fortement de n'autoriser
les accès SSH que depuis un jeu d'adresses en nombre limité, une demi
dizaine tout au plus.
Récemment, j'ai désactivé cette limite sur uen machine, pour voir. Et bien
le résultat ne sest pas fait attendre (et entre 4 et 5h du mat) : des
tentatives répétées, émanant de Hongrie, pour trouver le mot de passe de
compte comme root, admin, super, master, etc.
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont
dépendait l'adresse source de ces tentatives.
Bonjour à tous Je viens d'être victime d'un rootkit (suckit!). Je ne suis pas, loin s'en faut un expert, mais j'ai quand même essayé de comprendre. Cependant, il reste encore bien des zones d'ombre dans ma pauvre cervelle:-) Pouvez vous m'aider? (j'ai sûrement commis des imprundences dans ma config, je vais sûrement écrire des énormités,...pour tout ça, merci de votre indulgence:-)
Ma config est la suivante: Lan de 4 pc windows (98 et xp) Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3 services accessible de l'extérieur : -sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles". (est ce le bon terme? accessibles est il plus approprié?) Les règles iptables sont donc: iptables -A INPUT -p tcp --dport 22 -j ACCEPT pareil (avec 80 et 10 000)
1° précision : root peut se connecter en ssh. Je crois avoir compris que c'était une connerie:-( ? Oui et non. Ca dépend de ce qu'on entend par root.
S'il s'agit de l'utilisateur << root >> ce n'est pas prudent mais voir ci-après. S'il s'agit d'un permitrootlogin=yes mais que le loginname root est interdit via a directive DenyUsers root et qu'un autre compte prend sa place (stoto, supervisor, etc) c'est moins risqué.
Quoi qu'il en soit, root ou pas root je conseille fortement de n'autoriser les accès SSH que depuis un jeu d'adresses en nombre limité, une demi dizaine tout au plus. Récemment, j'ai désactivé cette limite sur uen machine, pour voir. Et bien le résultat ne sest pas fait attendre (et entre 4 et 5h du mat) : des tentatives répétées, émanant de Hongrie, pour trouver le mot de passe de compte comme root, admin, super, master, etc. J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont dépendait l'adresse source de ces tentatives.
db
-- email : usenet blas net
Sylvain POURRE
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3 services accessible de l'extérieur : -sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles". (est ce le bon terme? accessibles est il plus approprié?) Bonsoir
Je ne suis pas un expert en SSI et j'espère ne pas écrire trop de bêtises. AMHA, il y a là déjà une faute de conception. Pour moi, un firewall ne devrait servir que de firewall et à rien d'autre. Il est assez facile de récupérer un vieux PC pour ce faire sans se ruiner. Je n'ai pas encore testé mais un système live comme une Knopix et une disquette protégée en écriture pour les règles devrait apporter un minimum de sécurité. Les serveurs qui doivent être accessibles de l'extérieur devraient être sur une patte dédiée du routeur (DMZ). Pour le reste, je pense que tu as déjà de nombreuses pistes. Linux n'est pas infaillible. Il y a des failles de sécurité mais la collectivité est plus réactive que le modèle commercial. Cela signifie qu'il faut administrer et mettre à jour. Cordialement
-- Sylvain
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec
iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me
suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3
services accessible de l'extérieur :
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles".
(est ce le bon terme? accessibles est il plus approprié?)
Bonsoir
Je ne suis pas un expert en SSI et j'espère ne pas écrire trop de bêtises.
AMHA, il y a là déjà une faute de conception. Pour moi, un firewall ne
devrait servir que de firewall et à rien d'autre. Il est assez facile de
récupérer un vieux PC pour ce faire sans se ruiner. Je n'ai pas encore
testé mais un système live comme une Knopix et une disquette protégée en
écriture pour les règles devrait apporter un minimum de sécurité.
Les serveurs qui doivent être accessibles de l'extérieur devraient être
sur une patte dédiée du routeur (DMZ).
Pour le reste, je pense que tu as déjà de nombreuses pistes. Linux n'est
pas infaillible. Il y a des failles de sécurité mais la collectivité est
plus réactive que le modèle commercial. Cela signifie qu'il faut
administrer et mettre à jour.
Cordialement
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3 services accessible de l'extérieur : -sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles". (est ce le bon terme? accessibles est il plus approprié?) Bonsoir
Je ne suis pas un expert en SSI et j'espère ne pas écrire trop de bêtises. AMHA, il y a là déjà une faute de conception. Pour moi, un firewall ne devrait servir que de firewall et à rien d'autre. Il est assez facile de récupérer un vieux PC pour ce faire sans se ruiner. Je n'ai pas encore testé mais un système live comme une Knopix et une disquette protégée en écriture pour les règles devrait apporter un minimum de sécurité. Les serveurs qui doivent être accessibles de l'extérieur devraient être sur une patte dédiée du routeur (DMZ). Pour le reste, je pense que tu as déjà de nombreuses pistes. Linux n'est pas infaillible. Il y a des failles de sécurité mais la collectivité est plus réactive que le modèle commercial. Cela signifie qu'il faut administrer et mettre à jour. Cordialement
-- Sylvain
Emmanuel Florac
Le Mon, 17 Jan 2005 10:20:40 +0000, Dominique Blas a écrit :
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont dépendait l'adresse source de ces tentatives.
L'espoir fait vivre :) Sérieusement, quelle est la portée de ce genre de réclamation vers la hongrie, la russie, la roumanie... ?
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
Le Mon, 17 Jan 2005 10:20:40 +0000, Dominique Blas a écrit :
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont
dépendait l'adresse source de ces tentatives.
L'espoir fait vivre :) Sérieusement, quelle est la portée de ce genre de
réclamation vers la hongrie, la russie, la roumanie... ?
--
Je suis riche des biens dont je sais me passer.
Louis-Jean-Baptiste Etienne Vigée.
Le Mon, 17 Jan 2005 10:20:40 +0000, Dominique Blas a écrit :
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont dépendait l'adresse source de ces tentatives.
L'espoir fait vivre :) Sérieusement, quelle est la portée de ce genre de réclamation vers la hongrie, la russie, la roumanie... ?
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
Anthony Fleury
Emmanuel Florac wrote:
Le Mon, 17 Jan 2005 10:20:40 +0000, Dominique Blas a écrit :
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont dépendait l'adresse source de ces tentatives.
L'espoir fait vivre :) Sérieusement, quelle est la portée de ce genre de réclamation vers la hongrie, la russie, la roumanie... ?
Je ne sais pas pour la Hongrie, la Roumanie ou autre, mais je me demande quelle est la portée de ce genre de chose _en général_. J'ai eu la même chose une fois, sur une IP venant d'une université aux États Unis, 20 000 tentatives en deux heures je crois. J'ai envoyé les journaux à l'adresse d'abuse donnée par whois, j'ai eu le droit à une réponse qui semblait automatique et je me demande vraiment si ce mail a été lu un jour.
-- Anthony Fleury "Il faut mieux avoir un dix à sa composition qu'un con à sa disposition."
Emmanuel Florac wrote:
Le Mon, 17 Jan 2005 10:20:40 +0000, Dominique Blas a écrit :
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont
dépendait l'adresse source de ces tentatives.
L'espoir fait vivre :) Sérieusement, quelle est la portée de ce genre de
réclamation vers la hongrie, la russie, la roumanie... ?
Je ne sais pas pour la Hongrie, la Roumanie ou autre, mais je me demande
quelle est la portée de ce genre de chose _en général_.
J'ai eu la même chose une fois, sur une IP venant d'une université aux États
Unis, 20 000 tentatives en deux heures je crois. J'ai envoyé les journaux à
l'adresse d'abuse donnée par whois, j'ai eu le droit à une réponse qui
semblait automatique et je me demande vraiment si ce mail a été lu un jour.
--
Anthony Fleury
"Il faut mieux avoir un dix à sa composition qu'un con à sa disposition."
Le Mon, 17 Jan 2005 10:20:40 +0000, Dominique Blas a écrit :
J'ai copié le journal et l'ai expédié à l'abuse du fournisseur dont dépendait l'adresse source de ces tentatives.
L'espoir fait vivre :) Sérieusement, quelle est la portée de ce genre de réclamation vers la hongrie, la russie, la roumanie... ?
Je ne sais pas pour la Hongrie, la Roumanie ou autre, mais je me demande quelle est la portée de ce genre de chose _en général_. J'ai eu la même chose une fois, sur une IP venant d'une université aux États Unis, 20 000 tentatives en deux heures je crois. J'ai envoyé les journaux à l'adresse d'abuse donnée par whois, j'ai eu le droit à une réponse qui semblait automatique et je me demande vraiment si ce mail a été lu un jour.
-- Anthony Fleury "Il faut mieux avoir un dix à sa composition qu'un con à sa disposition."
Sebastien Vincent
Je ne sais pas pour la Hongrie, la Roumanie ou autre, mais je me demande quelle est la portée de ce genre de chose _en général_. J'ai eu la même chose une fois, sur une IP venant d'une université aux États Unis, 20 000 tentatives en deux heures je crois. J'ai envoyé les journaux à l'adresse d'abuse donnée par whois, j'ai eu le droit à une réponse qui semblait automatique et je me demande vraiment si ce mail a été lu un jour.
Si j'etais responsable de l'adresse abuse@ alors je le ferais, je le lirais, et le prendrais en compte.
Ca ne coute pas grand chose je pense... Un simple message de terreur du style "devant une plainte recue par nos services pour tentative de piratage depuis l'un de nos poste, un enquete interne a été entammée pour determiner le ou les responsables de ces actes." placardé un peu partout dans l'universite, c'est tres vite fait.
Donc je garde bon espoir, mais bon, je mail tres rarement, car tant que la tentative n'est pas agressive (derangeante), je me dis que je laisse le pirate se faire un peu la main :)
Amicalement,
Seb
Je ne sais pas pour la Hongrie, la Roumanie ou autre, mais je me demande
quelle est la portée de ce genre de chose _en général_.
J'ai eu la même chose une fois, sur une IP venant d'une université aux États
Unis, 20 000 tentatives en deux heures je crois. J'ai envoyé les journaux à
l'adresse d'abuse donnée par whois, j'ai eu le droit à une réponse qui
semblait automatique et je me demande vraiment si ce mail a été lu un jour.
Si j'etais responsable de l'adresse abuse@ alors je le ferais, je le
lirais, et le prendrais en compte.
Ca ne coute pas grand chose je pense... Un simple message de terreur du
style "devant une plainte recue par nos services pour tentative de
piratage depuis l'un de nos poste, un enquete interne a été entammée
pour determiner le ou les responsables de ces actes." placardé un peu
partout dans l'universite, c'est tres vite fait.
Donc je garde bon espoir, mais bon, je mail tres rarement, car tant
que la tentative n'est pas agressive (derangeante), je me dis que je
laisse le pirate se faire un peu la main :)
Je ne sais pas pour la Hongrie, la Roumanie ou autre, mais je me demande quelle est la portée de ce genre de chose _en général_. J'ai eu la même chose une fois, sur une IP venant d'une université aux États Unis, 20 000 tentatives en deux heures je crois. J'ai envoyé les journaux à l'adresse d'abuse donnée par whois, j'ai eu le droit à une réponse qui semblait automatique et je me demande vraiment si ce mail a été lu un jour.
Si j'etais responsable de l'adresse abuse@ alors je le ferais, je le lirais, et le prendrais en compte.
Ca ne coute pas grand chose je pense... Un simple message de terreur du style "devant une plainte recue par nos services pour tentative de piratage depuis l'un de nos poste, un enquete interne a été entammée pour determiner le ou les responsables de ces actes." placardé un peu partout dans l'universite, c'est tres vite fait.
Donc je garde bon espoir, mais bon, je mail tres rarement, car tant que la tentative n'est pas agressive (derangeante), je me dis que je laisse le pirate se faire un peu la main :)
