[un peu HS] Virus serveurs sous Linux

iFranceEtch a écrit :

Bonsoir,

Avez-vous lu cet article ? -->
http://www.zdnet.fr/actualites/informatique/0,39040745,39285518,00.htm

Moi, j'attends surtout un jour de voir sur zdnet.fr un article qui parle
des défaillances des systèmes M$...

Guillaume



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart4681482.XtPjGz8TnI
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Thursday 17 November 2005 11:19, Marc PERRUDIN(Marc PERRUDIN
<debianNOSPAM@mp342.org>) disait:

> Bonsoir,

Salut,

Il y a pas très longtemps, je suis tombé sur un article sur les
produits des editeurs d'anti-virus. Un analyste (ne travaillant
pas pour un editeur d'anti-virus) faisait remarquer que l'effort
de developpement d'outils malveillants se reportait de plus en
plus vers les outils sensés nous en protégés.

<ma vie>
De puis environ un an, la plupart des pcs sous Windows Xp que j'ai
eu à nettoyer avait un anti-virus installé et *à* *jour*.
La plupart de temps, il a été impossible de lancer msconfig, cmd ou
le gestionnaire de services ou le gestionnaire des taches...
</ma vie>
A+
--
Glennie
"La vie offre toujours deux pentes. On grimpe ou on se laisse
glisser."

--nextPart4681482.XtPjGz8TnI
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUAQ30HjNHiioqkksXaAQI+rAf9GgGIvskQnvbGBpLBzl/ZVlbJOvCXzGbh
xYBh1BV2uXxB2DsZySust/DPxwc75ha6VbExNGV4cNAP/BSqqwjmT2jsQKCEsaKH
s4R7KYrX1K4hB7h3jvM05QQQv667drTwTgd/wv8VuAiNp8B/8dMrZ/kniAyNekwz
DzJLeTpsLXeNEwij4gPK3ykWQHY5CsYdSoK+WMrS8InKxOZCLUbVmPFjr+wDt3q+
NohwaHjH5tUPUZglJ+gKzOlT3MfgQiyzJb/0Me57V4tTSbDl98JpXynWlWvmN/kR
j40XcwncK1mb3iFD9vXQ1VzU83wcT/ow9JPB6XcCMiZXCMIHvttlRg= =mvoa
-----END PGP SIGNATURE-----

--nextPart4681482.XtPjGz8TnI--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart1543192.JyftljIHh3
Content-Type: text/plain;
charset="iso-8859-15"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Thursday 17 November 2005 13:20, laurux(laurux <laurux@free.fr>)
disait:

Le Wed, 16 Nov 2005 23:10:17 +0100, iFranceEtch a voulu dire :
> Bonsoir,

Salut,

Le monde numérique sera en danger lorqu'il existera une souche de
virus capable de fonctionner et de se propager aussi bien sous
Linux que sous Windows (j'écris ceci mais j'espère que cela
n'existe pas encore -;)).

Je sais sii l exsite des virus, mais il est tout à fait possible
d'écrire des programmes qui fonctionnent aussi bien sous Windows que
sous Linux (pas dans un langage de haut niveau mais en
*assembleur*). Il y a eu un article dessus dans Misc(c'était presque
de la magie noire pour moi, mais je pense que quelqu'un de motivé
devrait y arriver à exploiter une faille dans Windows et une faille
dans une appli sous Linux + le Kernel Linux...)


--
Glennie
"La vie offre toujours deux pentes. On grimpe ou on se laisse
glisser."

--nextPart1543192.JyftljIHh3
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUAQ30KydHiioqkksXaAQKrZAgAlQyscHFi5Yeqxh9x7d25/ocEzJAT2Yrw
t+h95mgRhREDa5MGqiw6s44RtdFI8I87QNehZnOv6bJMyi9Hl4O27brC4pT0o/rp
Bid8D+t6PXLGTUnyVhFymT7zqExozRnPHKeZ3jDgzEWbEqzrAB9WS4tmf7d70nQi
HfbNZTxO0EVCg64Y2Afldjbh45BQLqfR2P41Z58WcKrMpla9Y9tQ5sSAnalg0D2n
BVvlRG2kIwUSDjVVh0OmqXeqj4IbEk/zvYODFWr8kIUzlnICWlKm6axQOPOxxz08
Cc1zrnapp931dexHU/Z8qqs3F8wNpaua2LilOXO2Jp80NGSiOYbBCg= =Q8LY
-----END PGP SIGNATURE-----

--nextPart1543192.JyftljIHh3--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart7035419.6epaA4uzJE
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Thursday 17 November 2005 18:04, François Boisson(François Boisson
<user.anti-spam@maison.homelinux.net>) disait:

Salut,

Un appel régulier par crontab règle le pbm.
cacheproc cherche les processus cachés.

C'est marrant, parce que si *moi*, je cherche à rooter une machine,
la première chose que je ferai, c'est me mettre dans '/tmp' et
chercher s'il y a des trucs du genre aide, tripwire, chkrootkit,
vérifier les crontabs, vérifier les process lancés, faire un 'atq'
vérifier le inittab et les init.d. etc
Après c'est sûr qu'il faut être *super* *motivé* et surtout de
disposer assez de temps...
A+
--
Glennie
"La vie offre toujours deux pentes. On grimpe ou on se laisse
glisser."

--nextPart7035419.6epaA4uzJE
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUAQ30OPdHiioqkksXaAQIZ6Qf7B47Y7dwCQTbDDztFpmLexXj5dtt8T8bj
9Mj0UCqxvCi+d7EugKGrPXUP4J6FQvqrsOeoWS4NrcR1/EL+KcXX+lYYiN+TtWSG
+gpLMoharSMbnjodRcba22QJ8yA8PrIcMviBijz0Y6dvvlKnWdIlwcJLdXE23ukY
jOOFN4jUrRTzlsFMRg2ygIOsNfDeO8tu8NyvXBCDuit3RbVsGLjiaQo4IOX1BG3l
RwJGquTp0jXFJKwVpOShg0SXsN7wgpspGf0Djj3D3upTX0RO8R4MNsbkG+nlPu/n
Jx4Yi76pfDudyHIMoiYoyr2fZ42N+47wNDoA57mWXKZTNDcsKh2wzw= =/CE/
-----END PGP SIGNATURE-----

--nextPart7035419.6epaA4uzJE--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart7920661.nUypVfCsmr
Content-Type: text/plain;
charset="iso-8859-15"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Thursday 17 November 2005 13:51, Jean-Luc Coulon (f5ibh)("Jean-Luc
Coulon (f5ibh)" <jean.luc.coulon@gmail.com>) disait:

Bonsoir

Ceci signifie que sont visés les serveurs ayant xml-rpc ...

Est-ce quelqu'un sait si mod-security (avec sa config de base et/ou
avec les règles 'advanced' disponible sur le site) est efficace
contre la faille exploité par le worm en question?
Merci!
A+
--
Glennie
"La vie offre toujours deux pentes. On grimpe ou on se laisse
glisser."

--nextPart7920661.nUypVfCsmr
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUAQ30Qe9HiioqkksXaAQIhCQf/T7VZ02W/UMUBrLUMCfwyTKrlrJtClYzJ
AJDRXBvmuBDJLakLlcS8GBmDmR93Hv5A70VH1rCzf545cqvkpvj32xOSwqYqKC//
T1dWubwCm9aSt7D3EP7xMiz6wnWQaN7e/pM/M1SwKeeKDwqz2kyiPT12eop9G30l
fHC2Ikw5R92bD8TrZuC80xqQyunYMHCA/mOTAaz+pSJ+qxzvxWqLdP8PI5w7SmOP
xqvov9mVxzaUDpLYAJzo6VTSPT7S09GdN7UXxI2FRs6S3NRUfPPMt2/UC1RqAnMg
umMExQMwIN+Yvwn0/B6oQEv2h7n5OuH8MHgItg1RnaI70V9Xad443w= =li4c
-----END PGP SIGNATURE-----

--nextPart7920661.nUypVfCsmr--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart1220187.MCBq7lziJ7
Content-Type: text/plain;
charset="iso-8859-15"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Thursday 17 November 2005 23:57, Glennie Vignarajah(Glennie
Vignarajah <glenny@nephthys.org>) disait:

Je sais sii l exsite des virus,

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Désolé, comme d'hab, c'est pas très facile à comprendre ça...
il faut lire "je sais pas s'il existe des virus,"
A+
--
Glennie
"La vie offre toujours deux pentes. On grimpe ou on se laisse
glisser."

--nextPart1220187.MCBq7lziJ7
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUAQ30WL9HiioqkksXaAQLJLQf+L/uxDg9OUL7/izdq3RWAtn4K8CIRJjxj
LaJZ4wwZhwVKcGZi89n+6Bo4zPHODKKqkz4EU9DF1XJPmHekqsb0ySK9mpstjL45
8h3cZwUM3CQBVXgrYabzNuwmZ3WqdnXlZSgLmW48NmpNSgl08uoKEnd145YEmZWd
vjLa/wwQE0dz1VQqX5e7pZC4LIDkVr8y7jdfGVJO83PeUjtN4f4+nxUNqpmZgSBG
fA0WTPB+1BBzKs18kAYswvd9k25LYB9k8XoJhDTWI9V4ldVpkhG/NrroB25nw/9m
Nlr+SDcRovT2CLZpae/UJq6oXx+9lX2SteBqdu9hqdjBUvRbQyfVQw= =4o/e
-----END PGP SIGNATURE-----

--nextPart1220187.MCBq7lziJ7--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Fri, 18 Nov 2005 00:11:56 +0100
Glennie Vignarajah <glenny@nephthys.org> a écrit:

C'est marrant, parce que si *moi*, je cherche à rooter une machine,
la première chose que je ferai, c'est me mettre dans '/tmp' et
chercher s'il y a des trucs du genre aide, tripwire, chkrootkit,
vérifier les crontabs, vérifier les process lancés, faire un 'atq'
vérifier le inittab et les init.d. etc
Après c'est sûr qu'il faut être *super* *motivé* et surtout de
disposer assez de temps...

Par recherche de processus cachés, j'entends rechercher les processus
existant mais n'apparaissant pas via ps. Comme ils existent, je me suis
aperçu qu'on pouvait quand même aller dans le repertoire sous /proc
correspondant même si ce repertoire n'apparait pas. J'ai utilisé
deux-trois rootkit pour tester le tout, ça marche bien.. A l(époque la
liste avait beaucoup contribuer à la lise au point de la premiere
version puis j'en ai fait une version copmilée.

En ce qui concerne le controle d'intégrité, l'amusant a été de
constater que les changements de bits de 1 à 0 arrivent de temps à
autre et qu'un binaire avec un bit modifié continue de marcher la
plupart du temps.

François Boisson


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart25164978.XLMHWTIvhZ
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Friday 18 November 2005 07:38, François Boisson(François Boisson
<user.anti-spam@maison.homelinux.net>) disait:

Par recherche de processus cachés, j'entends rechercher les
processus existant mais n'apparaissant pas via ps. Comme ils
existent, je me suis aperçu qu'on pouvait quand même aller dans le
repertoire sous /proc correspondant même si ce repertoire
n'apparait pas.

C'est possible ça?
Je croyais que pour cacher un process sous linux, il fallait un ps
patché...
Et chkrootkit fonctionne de cette manière : il fait des ps et compare
les entrées dans /proc...
A+
--
Glennie
"La vie offre toujours deux pentes. On grimpe ou on se laisse
glisser."

--nextPart25164978.XLMHWTIvhZ
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUAQ32G8dHiioqkksXaAQKimQf+PfkiqMaEhJpk+3SNi8OyFkJGP6XaWr/L
Jax4YKBcoe+RJNNI+6Casc1PUeY5rpH8ESj7S9B4mP0SO6OKITQ6MAYCrKHN/cUN
eiox09BOqFCzp+DFSmq/SQMBBHyErrWSaBgpkNLS+G+hUHiUehhq0sWRmBJ88mhp
ktzvBT/Nn/MApCCWxNfWyuz0kOmnABeKB8qRY7gWxL8KtVM8qXVPM6dIuRCe8mNh
v1x09iavQN84i/iyO5Lil6ogLeagKnBWSNsM/qFVdE6aCx7FmzbGmYY9FsA8r0Pi
KTdDbWq6FZTu/d9QaPZDxQloVMcFFE/Aec0zpLhHQC9d0fjaVzW7Jw= =8mAp
-----END PGP SIGNATURE-----

--nextPart25164978.XLMHWTIvhZ--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Fri, Nov 18, 2005 at 07:38:18AM +0100, François Boisson wrote:

En ce qui concerne le controle d'intégrité, l'amusant a été de
constater que les changements de bits de 1 à 0 arrivent de temps à
autre et qu'un binaire avec un bit modifié continue de marcher la
plupart du temps.

J'ai eu un disque qui perdait un bit, malheureusement dans
un inode: libreadline se transformait en libreadlIne, ce qui
mine de rien empêche le boot. Allons bon.

Par rapport à l'intégrité des fichiers, pourquoi n'as-tu pas
utilisé AIDE? Il semble faire tout ce que ton script fait.

Y.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Thu, Nov 17, 2005 at 01:44:22PM +0100, Jody wrote:

- un serveur web actif
- qu'il soit accessible par l'attaquant (en gros accessible depuis
l'Internet)
- que ce serveur dispose du support de PHP
- que ce serveur utilise la librairie XML-RPC pour PHP

Ne fallait-il pas aussi deux ports ouverts vers 7000? Rien
que ça devrait mettre à l'abri n'importe quelle installation
vaguement sérieuse...

Y.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org