sebek?

Le Sun, 12 Sep 2004 21:52:25 +0000, Flo a écrit :

Je me suis aperçu par hasard qu'une machine de mon réseau diffusait
des paquets sebek en broadcast.
[...]

Est-il possible de trouver le serveur?

Là, ça risque d'être un peu compliqué, dans la mesure où un serveur
Sebek sniffe le trafic pour en extraire le flux. Si les paquets sont émis
en broadcast (IP je présume), c'est que le serveur est sur le même
subnet.

Existe t-il des serveur sebek en Win32? (je n'en ai pas vu...)

Changer de Google alors...

http://www.honeynet.org/tools/sebek/

Je pense que c'est installé intentionnellement, avez-vous connaissance
de virus qui pourraient me faire douter?

Sebek est avant tout un système d'espionnage système, développé pour
monitorer des honeypots, mais pouvant être détourné à des fins moins
sympathiques.


--
1h23 pour télécharger MRJ, j'espère qu'à cette vitesse ton accès au
câble est offert sans abonnement !
-+- TM in Guide du Macounet Pervers : Les paquets passent la douane -+-

Bonjour,

Je me suis aperçu par hasard qu'une machine de mon réseau diffusait
des paquets sebek en broadcast.

Ca c'est étrange. Tu peux nous donner plus de détails sur les paquets
(un exemple de paquet complet serait l'idéal, bien entendu).

Une rapide recherche m'indique un keylogger.

C'est bien plus que ça. Sebek est un outil lié aux pots à miel
(http://www.honeynet.org/tools/sebek/) dont le but est d'espionner
discrètement les agissements de pirates qui auraient pris la main sur
une machine. Cela va bien au delà d'un banal keylogger (enfin au moins
dans l'idée)

C'est un windows2000.

Sebek-win32 présente de nombreuses vulnérabilités. En particulier ceci,
qui, à ma connaissance, n'a pas été corrigé :

- http://www.security.org.sg/vuln/sebek215.html
- http://www.security.org.sg/vuln/sebek215-2.html

Cela devrait te permettre de résoudre au moins temporairement ton problème.

J'ai plusieurs questions:

Est-il possible de trouver le serveur?

Pas simplement, cela dépend essentiellement de la topologie du réseau.
Si les trames sont envoyées en broadcast, comme le serveur ne répond
jamais, tu risques d'avoir du mal. Cependant, le serveur Sebek passe sa
carte réseau en mode promiscuous, et il est possible de détecter cela de
différentes façons diversement efficaces.

Etant entendu que si le pirate éventuel a pensé que, les trames étant
adressées en broadcast, il était inutile d'utiliser le mode promisc, il
peut l'avoir supprimé du code (c'est très facile, d'autant plus que le
code utilise une variable nommée promisc, donc très facilement
repérable, même par un pur débutant).

Existe t-il des serveur sebek en Win32? (je n'en ai pas vu...)

Moi non plus, mais avec l'aide de la winpcap et de cygwin, je doute que
ce soit très difficile à porter.

Je pense que c'est installé intentionnellement, avez-vous connaissance
de virus qui pourraient me faire douter?

Non, et je pense que j'aurais entendu parler d'un virus qui installerait
Sebek (sans garantie cependant, bien entendu).

Merci.

Avec plaisir.

pierre

--
Pierre LALET -- http://pierre.droids-corp.org/
Droids Corporation -- http://www.droids-corp.org/
French Honeynet Project -- http://www.frenchhoneynet.org/
Sebek *BSD -- http://honeynet.droids-corp.org/

Existe t-il des serveur sebek en Win32? (je n'en ai pas vu...)

Changer de Google alors...

http://www.honeynet.org/tools/sebek/

Je pense que Flo voulait parler du serveur qui reçoit les logs. Et si
c'est bien ce que tu avais compris et que j'ai pas été foutu de voir ça
dans la page, c'est mes binocles que je vais changer...

pierre

--
Pierre LALET -- http://pierre.droids-corp.org/
Droids Corporation -- http://www.droids-corp.org/
French Honeynet Project -- http://www.frenchhoneynet.org/
Sebek *BSD -- http://honeynet.droids-corp.org/

Le Mon, 13 Sep 2004 05:50:27 +0000, Pierre LALET a écrit :

Je pense que Flo voulait parler du serveur qui reçoit les logs. Et si
c'est bien ce que tu avais compris et que j'ai pas été foutu de voir ça
dans la page, c'est mes binocles que je vais changer...

Je parlais bien de la partie qui exporte les logs, pas du serveur qui les
reçoit.


--
Ce que je comprends pas, c'est pourquoi leurs votes compte plus ?
Et surtout, ca leur rapporte QUOI ????
Putain faut vraiment être CON, grave.
-+- A in GNU - La Cabale, c'est plus FORT que toi ! -+-

Pierre LALET <pierre@droids-corp.org> writes:

[...]

Ca c'est étrange. Tu peux nous donner plus de détails sur les paquets
(un exemple de paquet complet serait l'idéal, bien entendu).

Ah parano quand tu nous tiens...

Bon: en fait c'est l'anti-virus qui broadcast ses infos de
version....

ethereal décode, pour cette machine en particulier, du sebek.

Je suppose à cause du port source (1101?) et de l'UDP sur l'adresse du
réseau?

mais les paquets sont similaires à toutes les autres machines, au port
source près. Désolé, j'avais pas vu.

Sebek-win32 présente de nombreuses vulnérabilités. En particulier
ceci, qui, à ma connaissance, n'a pas été corrigé :

- http://www.security.org.sg/vuln/sebek215.html
- http://www.security.org.sg/vuln/sebek215-2.html

;)

Existe t-il des serveur sebek en Win32? (je n'en ai pas vu...)

Moi non plus, mais avec l'aide de la winpcap et de cygwin, je doute
que ce soit très difficile à porter.

Oui, je n'ai pas été plus loin, mais un dump de ethereal sur les
paquets adequats aurait je pense fait l'affaire.

Non, et je pense que j'aurais entendu parler d'un virus qui
installerait Sebek (sans garantie cependant, bien entendu).

En cherchant vers ça aussi, j'ai trouvé chez CA des virus dont le nom
contient sebek: hllc.sebek.4407, mais il n'y a pas de description...

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID125

la même chose chez symantec:
<http://search.symantec.com/custom/us/query.html?col=&ht=0&qp=url%3Ahttp%3A//securityresponse.symantec.com/avcenter/venc/data+url%3A/avcenter/venc/auto/index,+url%3A/avcenter/security/Content&qs=-url%3A/sarc-intl.nsf/+-url%3A/navintl.nsf/&qc=&pw0%25&ws=0&la=en&si=0&fs=&qt=sebek&ex=&rq=0&oq=&qm=0&ql=&st=1&nh&lk=2&rf=0>

Merci.

--
Merci aussi à Cédric.
Désolé ;)