Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que
nous n'avions pas patché (cruel oubli), une fois sur le système,
il a profité d'une faille serveur ftp de la machine (wu-ftpd)
pour se mettre en root .....
On séétait pas trop méfié du ftpd, vu que le ftp
était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00
Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat :
Les symptomes:
- boote très mal (bloque sur le montage de l'interface réseau lo)
- boote en interactif si on ne monte pas les interfaces réseau
- lorsque l'on se logue sur le système, ou qu'on fait un su, on a le
message gethostname()='oscar2' (oscar2 est le nom de la machine)
- On ne peut plus lancer nos serveurs d'application Java (Erreur de 4174
: Erreur de segmentation)
- Le clavier n'est pas configuré fr
- le "su - unUser" passe très mal ("su unUser" passe mieux)
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant
a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais
lesquels ?
Si vous avez une idée ...
ps : merci de ne pas poursuivre le thread sur le mode "il avait qu'a mieux
bosser et patcher correctement sa machine"
(c'est déjà assez pénible comme ça)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thomas Nemeth
Le lun 16 fév 2004 à 16:42, Franck a tapoté : | Bonjour,
Bonjour.
| Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais | lesquels ?
Peu importe. Si tu veux pouvoir faire un diagnostic de l'attaque, tu peux dumper tes disques et les archiver. Mais de toutes façons, la seule chose qu'il te reste à faire est de réinstaller un nouveau système propre.
| Merci d'avance
Avec plaisir.
Thomas -- BOFH excuse #303: Fractal radiation jamming the backbone.
Le lun 16 fév 2004 à 16:42, Franck a tapoté :
| Bonjour,
Bonjour.
| Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais
| lesquels ?
Peu importe.
Si tu veux pouvoir faire un diagnostic de l'attaque, tu peux
dumper tes disques et les archiver. Mais de toutes façons, la
seule chose qu'il te reste à faire est de réinstaller un nouveau
système propre.
| Merci d'avance
Avec plaisir.
Thomas
--
BOFH excuse #303:
Fractal radiation jamming the backbone.
Le lun 16 fév 2004 à 16:42, Franck a tapoté : | Bonjour,
Bonjour.
| Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais | lesquels ?
Peu importe. Si tu veux pouvoir faire un diagnostic de l'attaque, tu peux dumper tes disques et les archiver. Mais de toutes façons, la seule chose qu'il te reste à faire est de réinstaller un nouveau système propre.
| Merci d'avance
Avec plaisir.
Thomas -- BOFH excuse #303: Fractal radiation jamming the backbone.
Rakotomandimby
Franck wrote:
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant a pu fabriquer sur cette machine.
Lire les logs ?
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais lesquels ?
Si vous avez une idée ...
Enlever la machine du reseau et l'etudier en l'ayant mis en quarantaine . Remplacer la machine par une autre le temps d'avoir diagnostiqué ( j'espere que vous avez fait des backup ) . D'apres certains threads que j'ai lu ici , il fallai pas reboter la machine ( je l'ai lu ici ou sur fr.comp.os.unix , je sais plus )
Mais y a surement mieux a faire , mais je sais pas quoi ... -- Rakotomandimby Mihamina Andrianifaharana Tel : +33 2 38 76 43 65 http://stko.dyndns.info/site_principal/Members/mihamina
Franck wrote:
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant
a pu fabriquer sur cette machine.
Lire les logs ?
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais
lesquels ?
Si vous avez une idée ...
Enlever la machine du reseau et l'etudier en l'ayant mis en quarantaine .
Remplacer la machine par une autre le temps d'avoir diagnostiqué ( j'espere
que vous avez fait des backup ) .
D'apres certains threads que j'ai lu ici , il fallai pas reboter la machine
( je l'ai lu ici ou sur fr.comp.os.unix , je sais plus )
Mais y a surement mieux a faire , mais je sais pas quoi ...
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant a pu fabriquer sur cette machine.
Lire les logs ?
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais lesquels ?
Si vous avez une idée ...
Enlever la machine du reseau et l'etudier en l'ayant mis en quarantaine . Remplacer la machine par une autre le temps d'avoir diagnostiqué ( j'espere que vous avez fait des backup ) . D'apres certains threads que j'ai lu ici , il fallai pas reboter la machine ( je l'ai lu ici ou sur fr.comp.os.unix , je sais plus )
Mais y a surement mieux a faire , mais je sais pas quoi ... -- Rakotomandimby Mihamina Andrianifaharana Tel : +33 2 38 76 43 65 http://stko.dyndns.info/site_principal/Members/mihamina
Fennec
Franck wrote:
Bonjour,
Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que nous n'avions pas patché (cruel oubli), une fois sur le système, il a profité d'une faille serveur ftp de la machine (wu-ftpd) pour se mettre en root ..... On séétait pas trop méfié du ftpd, vu que le ftp était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00 Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat : Les symptomes:
- boote très mal (bloque sur le montage de l'interface réseau lo) - boote en interactif si on ne monte pas les interfaces réseau - lorsque l'on se logue sur le système, ou qu'on fait un su, on a le message gethostname()='oscar2' (oscar2 est le nom de la machine) - On ne peut plus lancer nos serveurs d'application Java (Erreur de 4174 : Erreur de segmentation) - Le clavier n'est pas configuré fr - le "su - unUser" passe très mal ("su unUser" passe mieux)
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais lesquels ?
Si vous avez une idée ...
utiliser l'outil chkrootkit pour voir ce qui a pu se passer se logger en chroot (afin d'avoir des outils sain) Ecouter le réseau utiliser prelude (en général, c'est pr prevenir les attaques :/ ) regarder les sortie qui n'ont pas lieu d'etre... Si vraiment imposibilité de réparer, formater le system.
A noter que l'on ne peut pas vraiment faire confiance au log de la machine vu que cette derniere a été compromise
ps : merci de ne pas poursuivre le thread sur le mode "il avait qu'a mieux bosser et patcher correctement sa machine" (c'est déjà assez pénible comme ça)
Merci d'avance
Bonne chance
Franck wrote:
Bonjour,
Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que
nous n'avions pas patché (cruel oubli), une fois sur le système,
il a profité d'une faille serveur ftp de la machine (wu-ftpd)
pour se mettre en root .....
On séétait pas trop méfié du ftpd, vu que le ftp
était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00
Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat :
Les symptomes:
- boote très mal (bloque sur le montage de l'interface réseau lo)
- boote en interactif si on ne monte pas les interfaces réseau
- lorsque l'on se logue sur le système, ou qu'on fait un su, on a le
message gethostname()='oscar2' (oscar2 est le nom de la machine)
- On ne peut plus lancer nos serveurs d'application Java (Erreur de
4174
: Erreur de segmentation)
- Le clavier n'est pas configuré fr
- le "su - unUser" passe très mal ("su unUser" passe mieux)
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant
a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais
lesquels ?
Si vous avez une idée ...
utiliser l'outil chkrootkit pour voir ce qui a pu se passer
se logger en chroot (afin d'avoir des outils sain)
Ecouter le réseau
utiliser prelude (en général, c'est pr prevenir les attaques :/ )
regarder les sortie qui n'ont pas lieu d'etre... Si vraiment imposibilité de
réparer, formater le system.
A noter que l'on ne peut pas vraiment faire confiance au log de la machine
vu que cette derniere a été compromise
ps : merci de ne pas poursuivre le thread sur le mode "il avait qu'a mieux
bosser et patcher correctement sa machine"
(c'est déjà assez pénible comme ça)
Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que nous n'avions pas patché (cruel oubli), une fois sur le système, il a profité d'une faille serveur ftp de la machine (wu-ftpd) pour se mettre en root ..... On séétait pas trop méfié du ftpd, vu que le ftp était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00 Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat : Les symptomes:
- boote très mal (bloque sur le montage de l'interface réseau lo) - boote en interactif si on ne monte pas les interfaces réseau - lorsque l'on se logue sur le système, ou qu'on fait un su, on a le message gethostname()='oscar2' (oscar2 est le nom de la machine) - On ne peut plus lancer nos serveurs d'application Java (Erreur de 4174 : Erreur de segmentation) - Le clavier n'est pas configuré fr - le "su - unUser" passe très mal ("su unUser" passe mieux)
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais lesquels ?
Si vous avez une idée ...
utiliser l'outil chkrootkit pour voir ce qui a pu se passer se logger en chroot (afin d'avoir des outils sain) Ecouter le réseau utiliser prelude (en général, c'est pr prevenir les attaques :/ ) regarder les sortie qui n'ont pas lieu d'etre... Si vraiment imposibilité de réparer, formater le system.
A noter que l'on ne peut pas vraiment faire confiance au log de la machine vu que cette derniere a été compromise
ps : merci de ne pas poursuivre le thread sur le mode "il avait qu'a mieux bosser et patcher correctement sa machine" (c'est déjà assez pénible comme ça)
Merci d'avance
Bonne chance
no_spam
On Mon, 16 Feb 2004 11:42:35 -0400, Franck wrote:
Bonjour,
Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que nous n'avions pas patché (cruel oubli), une fois sur le système, il a profité d'une faille serveur ftp de la machine (wu-ftpd) pour se mettre en root ..... On séétait pas trop méfié du ftpd, vu que le ftp était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00 Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat : Les symptomes: ...
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais lesquels ?
Des cas déjà vus: vérifier si des programmes n'utilisent pas une libc différente de celle du système ou sont étrangement linkés en statique (avec ldd). Essayer de trouver un rootkit: si la liste des process vus par ps et ceux dans /proc/[0-9]* diffère, il y a anguille sous roche. Noter la ligne de commande des process en question (cat /proc/<xxx>/cmdline) et kill -9 Ensuite, mettre de coté les programmes concerné pour voir ce qu'ils font et si ils dépendent de librairies particulières qui auraient été corrompues. Mais le plus sage est de réinstaller la machine et de ne garder cette version que dans le cas ou tu voudrais savoir en détail ce qui s'est passé. Ensuite, comme d'habitude: arrêter tous les services qui ne servent pas, évaluer la fiabilité des outils retenus: la réputation de wu-ftpd n'est pas très bonne...
On Mon, 16 Feb 2004 11:42:35 -0400, Franck wrote:
Bonjour,
Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que
nous n'avions pas patché (cruel oubli), une fois sur le système,
il a profité d'une faille serveur ftp de la machine (wu-ftpd)
pour se mettre en root .....
On séétait pas trop méfié du ftpd, vu que le ftp
était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00
Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat :
Les symptomes:
...
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant
a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais
lesquels ?
Des cas déjà vus:
vérifier si des programmes n'utilisent pas une libc différente de celle
du système ou sont étrangement linkés en statique (avec ldd).
Essayer de trouver un rootkit:
si la liste des process vus par ps et ceux dans /proc/[0-9]*
diffère, il y a anguille sous roche. Noter la ligne de commande
des process en question (cat /proc/<xxx>/cmdline) et kill -9
Ensuite, mettre de coté les programmes concerné pour voir ce
qu'ils font et si ils dépendent de librairies particulières
qui auraient été corrompues.
Mais le plus sage est de réinstaller la machine et de ne garder
cette version que dans le cas ou tu voudrais savoir en détail
ce qui s'est passé.
Ensuite, comme d'habitude: arrêter tous les services qui ne servent
pas, évaluer la fiabilité des outils retenus: la réputation de wu-ftpd
n'est pas très bonne...
Bon ben ça y'est on s'est pris une claque dans la gueule.....
L'attaquant est passé par une faille de openssl, que nous n'avions pas patché (cruel oubli), une fois sur le système, il a profité d'une faille serveur ftp de la machine (wu-ftpd) pour se mettre en root ..... On séétait pas trop méfié du ftpd, vu que le ftp était bloqué par le firewall.
Bref, il a fait ça vers Samedi soir vers 19h00 Je suis intervenu vers 19h30 mais il a eu le temps de faire du dégat : Les symptomes: ...
J'ai vraiment besoin d'un coup de main pour trouver ce que l'attaquant a pu fabriquer sur cette machine.
Il a peut-etre remplacé un ou des fichiers pour ouvrir une backdoor, mais lesquels ?
Des cas déjà vus: vérifier si des programmes n'utilisent pas une libc différente de celle du système ou sont étrangement linkés en statique (avec ldd). Essayer de trouver un rootkit: si la liste des process vus par ps et ceux dans /proc/[0-9]* diffère, il y a anguille sous roche. Noter la ligne de commande des process en question (cat /proc/<xxx>/cmdline) et kill -9 Ensuite, mettre de coté les programmes concerné pour voir ce qu'ils font et si ils dépendent de librairies particulières qui auraient été corrompues. Mais le plus sage est de réinstaller la machine et de ne garder cette version que dans le cas ou tu voudrais savoir en détail ce qui s'est passé. Ensuite, comme d'habitude: arrêter tous les services qui ne servent pas, évaluer la fiabilité des outils retenus: la réputation de wu-ftpd n'est pas très bonne...
Franck
Bien sur la machine a été débranchée
dès l'attaque detectée, on fonctionne actuellement sur le serveur de secours,
J'ai essayé de réparer la machine, mais le rootkit a mis un véritable bordel dedans.
Allez - hop, reinstall,
Conclusion : 3 jours de boulot et un samedi soir en vrac à cause d'un rigolo qui voulait installer un bot IRC
Pfff
@+
-- Franck
Bien sur la machine a été débranchée
dès l'attaque detectée, on fonctionne actuellement
sur le serveur de secours,
J'ai essayé de réparer la machine, mais le rootkit
a mis un véritable bordel dedans.
Allez - hop, reinstall,
Conclusion :
3 jours de boulot et un samedi soir en vrac
à cause d'un rigolo qui voulait installer un bot IRC
Ceci dit les machines étaint suivies et patchées très régulièrement du moins pour les services en frontal.
Mais y'a effectivement eu un oubli
Ah lala si seulement j'étais infaillible comme toi ;-)
Salut
-- Franck
no_spam
On Tue, 17 Feb 2004 12:45:07 -0400, Franck wrote:
"errare humanum etc..."
Ceci dit les machines étaint suivies et patchées très régulièrement du moins pour les services en frontal.
Mais y'a effectivement eu un oubli
Ah lala si seulement j'étais infaillible comme toi ;-)
Si déjà il y a des sauvegardes et que le problème est rapidement détecté, le mal est moindre... Imho, ce qui est grave, c'est d'être rootkité sans le voir...
On Tue, 17 Feb 2004 12:45:07 -0400, Franck wrote:
"errare humanum etc..."
Ceci dit les machines étaint suivies et patchées très régulièrement
du moins pour les services en frontal.
Mais y'a effectivement eu un oubli
Ah lala si seulement j'étais infaillible comme toi ;-)
Si déjà il y a des sauvegardes et que le problème est rapidement
détecté, le mal est moindre...
Imho, ce qui est grave, c'est d'être rootkité sans le voir...
Ceci dit les machines étaint suivies et patchées très régulièrement du moins pour les services en frontal.
Mais y'a effectivement eu un oubli
Ah lala si seulement j'étais infaillible comme toi ;-)
Si déjà il y a des sauvegardes et que le problème est rapidement détecté, le mal est moindre... Imho, ce qui est grave, c'est d'être rootkité sans le voir...
