J'ai trouvé sur une machine dont je m'occupe un shell bindé sur le port
31337 qui s'identifie comme suit : "Welcome!psyBNC@lam3rz.de NOTICE *
:psyBNC2.3.2-4"
il était accompagné d'un fichier /dev/shm/.,/php/cmd.txt avec un gros
tas de php dedans, d'un bon nombre de binaires modifiés et accompagnés
des attributs sia ... Heureusement, rm faisait un semgentation fault, et
j'ai pu m'en apercevoir à ce moment.
chkrootkit me signale différentes choses désagréables telles que :
Checking `lkm'... You have 65 process hidden for readdir command
You have 69 process hidden for ps command
Checking `sniffer'... eth0: PROMISC
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h
Searching for Showtee... Warning: Possible Showtee Rootkit installed
J'ai aussi trouvé un vieux ssh (SSH-1.5-2.0.13) sur le port 88, et un
serveur irc sur le 6667
On me dit "pas le temps de réinstaller", alors, avez-vous une idée de
comment j'ai pu attraper cette saleté ? Un exploit php puis un exploit
local pour escalade de privilèges ? Mon kernel est un 2.6.18.1, il me
semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de
mettre à jour, on va pas passer notre temps à redémarrer" :/
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sebastiaan 'CrashandDie' Lauwers
Bastien Durel wrote:
Bonjour,
Salutations,
On me dit "pas le temps de réinstaller", alors, avez-vous une idée de comment j'ai pu attraper cette saleté ? Un exploit php puis un exploit local pour escalade de privilèges ? Mon kernel est un 2.6.18.1, il me semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de mettre à jour, on va pas passer notre temps à redémarrer" :/
"Les idiots ont souvent le droit de vote, c'est comme ça qu'on s'éduque !"
Un noyau 2.6.18.1, c'est vaste pour trouver des failles, ça dépend franchement du reste des logiciels installés, et aussi, de leurs versions respectives, avec ou sans patchs de sécurité appliqués...
Il y a aussi les logiciels sur les logiciels, je parle bien entendu des scripts PHP, qui peuvent grandement compromettre la sécurité d'un système dans certains cas bien précis...
Possible d'avoir une liste plus exhaustive ?
Merci,
HTH,
S.
Bastien Durel wrote:
Bonjour,
Salutations,
On me dit "pas le temps de réinstaller", alors, avez-vous une idée de
comment j'ai pu attraper cette saleté ? Un exploit php puis un exploit
local pour escalade de privilèges ? Mon kernel est un 2.6.18.1, il me
semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de
mettre à jour, on va pas passer notre temps à redémarrer" :/
"Les idiots ont souvent le droit de vote, c'est comme ça qu'on s'éduque !"
Un noyau 2.6.18.1, c'est vaste pour trouver des failles, ça dépend
franchement du reste des logiciels installés, et aussi, de leurs
versions respectives, avec ou sans patchs de sécurité appliqués...
Il y a aussi les logiciels sur les logiciels, je parle bien entendu des
scripts PHP, qui peuvent grandement compromettre la sécurité d'un
système dans certains cas bien précis...
On me dit "pas le temps de réinstaller", alors, avez-vous une idée de comment j'ai pu attraper cette saleté ? Un exploit php puis un exploit local pour escalade de privilèges ? Mon kernel est un 2.6.18.1, il me semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de mettre à jour, on va pas passer notre temps à redémarrer" :/
"Les idiots ont souvent le droit de vote, c'est comme ça qu'on s'éduque !"
Un noyau 2.6.18.1, c'est vaste pour trouver des failles, ça dépend franchement du reste des logiciels installés, et aussi, de leurs versions respectives, avec ou sans patchs de sécurité appliqués...
Il y a aussi les logiciels sur les logiciels, je parle bien entendu des scripts PHP, qui peuvent grandement compromettre la sécurité d'un système dans certains cas bien précis...
Possible d'avoir une liste plus exhaustive ?
Merci,
HTH,
S.
octane
On 13 juin, 11:17, Bastien Durel wrote:
J'ai trouvé sur une machine dont je m'occupe un shell bindé sur le port 31337 qui s'identifie comme suit : "Welcome! NOTICE * :psyBNC2.3.2-4"
ta machine est compromise
il était accompagné d'un fichier /dev/shm/.,/php/cmd.txt avec un gros tas de php dedans, d'un bon nombre de binaires modifiés et accompagnés des attributs sia ... Heureusement, rm faisait un semgentation fault, et j'ai pu m'en apercevoir à ce moment.
!!!
chkrootkit me signale différentes choses désagréables telles que : Checking `lkm'... You have 65 process hidden for readdir command You have 69 process hidden for ps command Checking `sniffer'... eth0: PROMISC
bon, tu dois prendre en compte l'eventualite que tous tes mots de passe sont compromis.
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h Searching for Showtee... Warning: Possible Showtee Rootkit installed
J'ai aussi trouvé un vieux ssh (SSH-1.5-2.0.13) sur le port 88, et un serveur irc sur le 6667
On me dit "pas le temps de réinstaller"
c'est la pire reponse que l'on a pu te faire.
alors, avez-vous une idée de comment j'ai pu attraper cette saleté ? Un exploit php
pas forcement, mais il y a de grandes chances. Lorsque tu auras tout remis a plat, etudies le code avant de remettre le site en service.
puis un exploit local pour escalade de privilèges ?
sans doute.
Mon kernel est un 2.6.18.1, il me semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de mettre à jour, on va pas passer notre temps à redémarrer" :/
bon, bin, diffuses l'adresse IP de la machine dans un max
d'emplacements (forums web alc). Dans quelques temps, la page d'accueil de ton site web aura une tete de mort, le serveur d'email ajoutera une pub pour des pilules bleues a chaque email emis, la masse des telechargements sur emule fera tomber ta BP, et ca finira par un rm -rf /
Mais bah, "on" a pas le temps, hein?
On 13 juin, 11:17, Bastien Durel <bastien.du...@data.fr> wrote:
J'ai trouvé sur une machine dont je m'occupe un shell bindé sur le port
31337 qui s'identifie comme suit : "Welcome!psy...@lam3rz.de NOTICE *
:psyBNC2.3.2-4"
ta machine est compromise
il était accompagné d'un fichier /dev/shm/.,/php/cmd.txt avec un gros
tas de php dedans, d'un bon nombre de binaires modifiés et accompagnés
des attributs sia ... Heureusement, rm faisait un semgentation fault, et
j'ai pu m'en apercevoir à ce moment.
!!!
chkrootkit me signale différentes choses désagréables telles que :
Checking `lkm'... You have 65 process hidden for readdir command
You have 69 process hidden for ps command
Checking `sniffer'... eth0: PROMISC
bon, tu dois prendre en compte l'eventualite que tous tes mots de
passe sont compromis.
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h
Searching for Showtee... Warning: Possible Showtee Rootkit installed
J'ai aussi trouvé un vieux ssh (SSH-1.5-2.0.13) sur le port 88, et un
serveur irc sur le 6667
On me dit "pas le temps de réinstaller"
c'est la pire reponse que l'on a pu te faire.
alors, avez-vous une idée de
comment j'ai pu attraper cette saleté ? Un exploit php
pas forcement, mais il y a de grandes chances. Lorsque tu
auras tout remis a plat, etudies le code avant de remettre
le site en service.
puis un exploit local pour escalade de privilèges ?
sans doute.
Mon kernel est un 2.6.18.1, il me
semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de
mettre à jour, on va pas passer notre temps à redémarrer" :/
bon, bin, diffuses l'adresse IP de la machine dans un max
d'emplacements (forums web alc).
Dans quelques temps, la page d'accueil de ton site web
aura une tete de mort, le serveur d'email ajoutera une pub
pour des pilules bleues a chaque email emis, la masse des
telechargements sur emule fera tomber ta BP, et ca finira
par un rm -rf /
J'ai trouvé sur une machine dont je m'occupe un shell bindé sur le port 31337 qui s'identifie comme suit : "Welcome! NOTICE * :psyBNC2.3.2-4"
ta machine est compromise
il était accompagné d'un fichier /dev/shm/.,/php/cmd.txt avec un gros tas de php dedans, d'un bon nombre de binaires modifiés et accompagnés des attributs sia ... Heureusement, rm faisait un semgentation fault, et j'ai pu m'en apercevoir à ce moment.
!!!
chkrootkit me signale différentes choses désagréables telles que : Checking `lkm'... You have 65 process hidden for readdir command You have 69 process hidden for ps command Checking `sniffer'... eth0: PROMISC
bon, tu dois prendre en compte l'eventualite que tous tes mots de passe sont compromis.
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h Searching for Showtee... Warning: Possible Showtee Rootkit installed
J'ai aussi trouvé un vieux ssh (SSH-1.5-2.0.13) sur le port 88, et un serveur irc sur le 6667
On me dit "pas le temps de réinstaller"
c'est la pire reponse que l'on a pu te faire.
alors, avez-vous une idée de comment j'ai pu attraper cette saleté ? Un exploit php
pas forcement, mais il y a de grandes chances. Lorsque tu auras tout remis a plat, etudies le code avant de remettre le site en service.
puis un exploit local pour escalade de privilèges ?
sans doute.
Mon kernel est un 2.6.18.1, il me semble qu'il y a eu des alertes ensuite ... Mais bon "pas le temps de mettre à jour, on va pas passer notre temps à redémarrer" :/
bon, bin, diffuses l'adresse IP de la machine dans un max
d'emplacements (forums web alc). Dans quelques temps, la page d'accueil de ton site web aura une tete de mort, le serveur d'email ajoutera une pub pour des pilules bleues a chaque email emis, la masse des telechargements sur emule fera tomber ta BP, et ca finira par un rm -rf /
Mais bah, "on" a pas le temps, hein?
Xavier Roche
wrote:
Dans quelques temps, la page d'accueil de ton site web aura une tete de mort, le serveur d'email ajoutera une pub
Les machines rootées sont également très recherchées pour constituer des noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en round(robin (sites pornos "très spéciaux", piratage de logiciels, médicaments contrefaits, arnaques fiscales, etc.)
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
octane@alinto.com wrote:
Dans quelques temps, la page d'accueil de ton site web
aura une tete de mort, le serveur d'email ajoutera une pub
Les machines rootées sont également très recherchées pour constituer des
noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en
round(robin (sites pornos "très spéciaux", piratage de logiciels,
médicaments contrefaits, arnaques fiscales, etc.)
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
Dans quelques temps, la page d'accueil de ton site web aura une tete de mort, le serveur d'email ajoutera une pub
Les machines rootées sont également très recherchées pour constituer des noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en round(robin (sites pornos "très spéciaux", piratage de logiciels, médicaments contrefaits, arnaques fiscales, etc.)
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
Nina Popravka
On 14 Jun 2007 07:45:36 GMT, Xavier Roche wrote:
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
Ou avoir le budget pour payer quelqu'un de compétent pour la remettre en état standard, si c'est faisable. -- Nina
On 14 Jun 2007 07:45:36 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> wrote:
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
Ou avoir le budget pour payer quelqu'un de compétent pour la remettre
en état standard, si c'est faisable.
--
Nina
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
Ou avoir le budget pour payer quelqu'un de compétent pour la remettre en état standard, si c'est faisable. -- Nina
octane
On 14 juin, 09:45, Xavier Roche wrote:
Dans quelques temps, la page d'accueil de ton site web aura une tete de mort, le serveur d'email ajoutera une pub
Les machines rootées sont également très recherchées pour constituer des noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en round(robin (sites pornos "très spéciaux", piratage de logiciels, médicaments contrefaits, arnaques fiscales, etc.)
ah oui, mais l'idee c'est de diffuser l'IP sur tous les webforums
securite (a deux balles) qui pullulent de pirates (a deux balles aussi). Il seront tous tellement fiers de pouvoir montrer un site web "defaced by dark abaddon lord of 666" que la machine sera en vrac tres vite :) L'idee (malsaine, mais je l'enonce tout de meme) c'est d'eduquer le decideur laxiste par l'exemple que la securite info, c'est important, en temps, en argent et en surveillance.
Ensuite, stop badware de google ne s'embarrasse pas autant lorsqu'il faut bannir un site web; et la le risque m'apparait beaucoup plus reel.
Enfin, je pense que le posteur originel ne va pas pourrir volontairement son serveur, mais ca pourra peut etre servir d'arguments au decideur presse pour prendre le temps qu'il faudra sur ce probleme.
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait le temps de la "scratcher"?
On 14 juin, 09:45, Xavier Roche <xro...@free.fr.NOSPAM.invalid> wrote:
Dans quelques temps, la page d'accueil de ton site web
aura une tete de mort, le serveur d'email ajoutera une pub
Les machines rootées sont également très recherchées pour constituer des
noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en
round(robin (sites pornos "très spéciaux", piratage de logiciels,
médicaments contrefaits, arnaques fiscales, etc.)
ah oui, mais l'idee c'est de diffuser l'IP sur tous les webforums
securite (a deux balles) qui pullulent de pirates (a deux
balles aussi). Il seront tous tellement fiers de pouvoir
montrer un site web "defaced by dark abaddon lord of 666" que
la machine sera en vrac tres vite :)
L'idee (malsaine, mais je l'enonce tout de meme) c'est d'eduquer
le decideur laxiste par l'exemple que la securite info, c'est
important, en temps, en argent et en surveillance.
Ensuite, stop badware de google ne s'embarrasse pas autant
lorsqu'il faut bannir un site web; et la le risque m'apparait
beaucoup plus reel.
Enfin, je pense que le posteur originel ne va pas pourrir
volontairement son serveur, mais ca pourra peut etre servir
d'arguments au decideur presse pour prendre le temps qu'il
faudra sur ce probleme.
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?
Dans quelques temps, la page d'accueil de ton site web aura une tete de mort, le serveur d'email ajoutera une pub
Les machines rootées sont également très recherchées pour constituer des noeuds d'envoi de spam, et pour de l'hébergement illégal sur des DNS en round(robin (sites pornos "très spéciaux", piratage de logiciels, médicaments contrefaits, arnaques fiscales, etc.)
ah oui, mais l'idee c'est de diffuser l'IP sur tous les webforums
securite (a deux balles) qui pullulent de pirates (a deux balles aussi). Il seront tous tellement fiers de pouvoir montrer un site web "defaced by dark abaddon lord of 666" que la machine sera en vrac tres vite :) L'idee (malsaine, mais je l'enonce tout de meme) c'est d'eduquer le decideur laxiste par l'exemple que la securite info, c'est important, en temps, en argent et en surveillance.
Ensuite, stop badware de google ne s'embarrasse pas autant lorsqu'il faut bannir un site web; et la le risque m'apparait beaucoup plus reel.
Enfin, je pense que le posteur originel ne va pas pourrir volontairement son serveur, mais ca pourra peut etre servir d'arguments au decideur presse pour prendre le temps qu'il faudra sur ce probleme.
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait le temps de la "scratcher"?
Fabien LE LEZ
On 14 Jun 2007 09:16:15 GMT, :
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait le temps de la "scratcher"?
Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce qui est effectivement la seule chose à faire. Évidemment, avoir une archive Mondo (ou même partimage) aurait permis de faire ça en quelques minutes.
On 14 Jun 2007 09:16:15 GMT, octane@alinto.com:
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?
Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce
qui est effectivement la seule chose à faire.
Évidemment, avoir une archive Mondo (ou même partimage) aurait permis
de faire ça en quelques minutes.
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait le temps de la "scratcher"?
Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce qui est effectivement la seule chose à faire. Évidemment, avoir une archive Mondo (ou même partimage) aurait permis de faire ça en quelques minutes.
Bastien Durel
Le 14/06/2007 18:21, * Fabien LE LEZ wrote:
On 14 Jun 2007 09:16:15 GMT, :
Amha également, il faudrait "avoir le temps" de scratcher cette machine. euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?
Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce qui est effectivement la seule chose à faire. Évidemment, avoir une archive Mondo (ou même partimage) aurait permis de faire ça en quelques minutes. Je ne vous le fait pas dire ...
J'ai probablement mis plus de temps à *peut-être* éradiquer le machin "dans l'urgence" que je n'en aurait mis à réinstaller la machine.
mais je ne désespère pas de réussir à obtenir une réinstallation ...
-- Bastien
Le 14/06/2007 18:21, * Fabien LE LEZ wrote:
On 14 Jun 2007 09:16:15 GMT, octane@alinto.com:
Amha également, il faudrait "avoir le temps" de scratcher cette machine.
euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?
Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce
qui est effectivement la seule chose à faire.
Évidemment, avoir une archive Mondo (ou même partimage) aurait permis
de faire ça en quelques minutes.
Je ne vous le fait pas dire ...
J'ai probablement mis plus de temps à *peut-être* éradiquer le machin
"dans l'urgence" que je n'en aurait mis à réinstaller la machine.
mais je ne désespère pas de réussir à obtenir une réinstallation ...
Amha également, il faudrait "avoir le temps" de scratcher cette machine. euh, "scratcher", tu vois quoi derriere ce mot? et "qui" aurait
le temps de la "scratcher"?
Tel que je l'ai compris, ça veut dire "formater et réinstaller", ce qui est effectivement la seule chose à faire. Évidemment, avoir une archive Mondo (ou même partimage) aurait permis de faire ça en quelques minutes. Je ne vous le fait pas dire ...
J'ai probablement mis plus de temps à *peut-être* éradiquer le machin "dans l'urgence" que je n'en aurait mis à réinstaller la machine.
mais je ne désespère pas de réussir à obtenir une réinstallation ...
-- Bastien
unknow
l'exploit etait un RFI et le bindshell c'est celui la http://packetstormsecurity.org/UNIX/penetration/rootkits/backd00r.c :P avec des outils comme lsof , ps , strace , ltrace , ldd faites un tri de tous les process qui accede au web et qui ne sont pas legitime et tuer les uns a uns ( c'est pas la meilleur solution mais bon ).
l'exploit etait un RFI et le bindshell c'est celui la
http://packetstormsecurity.org/UNIX/penetration/rootkits/backd00r.c :P
avec des outils comme lsof , ps , strace , ltrace , ldd faites un tri
de tous les process qui accede au web et qui ne sont pas legitime et
tuer les uns a uns ( c'est pas la meilleur solution mais bon ).
l'exploit etait un RFI et le bindshell c'est celui la http://packetstormsecurity.org/UNIX/penetration/rootkits/backd00r.c :P avec des outils comme lsof , ps , strace , ltrace , ldd faites un tri de tous les process qui accede au web et qui ne sont pas legitime et tuer les uns a uns ( c'est pas la meilleur solution mais bon ).
