On Mon, 22 Dec 2003 13:10:55 +0100 daniel huhardeaux <[EMAIL PROTECTED]> wrote:
> François Boisson wrote: > > > [...] > > > > > >PS: Un administrateur réseau peut il me donner des conseils, c'est > >apparemment un Kit0.42, qui install un bindshell sur le port 3049 dont > >le processus prend les différents noms nmbd, gzip, tar, script, etc. > >Quelqu'un a-t-il des détails sur ce nom Kit 0.42 (nom apparu au boot > >quand j'ai viré l'un des processus). J'ai fini par installer une règle > >iptables bloquant ce port en attendant et le sniffer est stoppé (j'ai > >retrouvé les fichiers de logs du sniffer, c'est impressionnant). Le > >plus simple est de refaire une install j'imagine :-(. J'ai conservé une > >image des disques à tout hasard... > > > > > Tout depend du temps que tu as devant toi. Il y a 1 an 1/2 une de mes > machines etait infecte par le worm bugtraq. Il m'a ete fortement > conseille de la reinstaller. Etant pris par le temps, m'en etant rendu > compte dans les 12h apres l'infection, et surtout que s'il fallait > *absolument* repartir de zero _rapidement_ c'etait possible (par ex en > un WE) j'ai decide de ne pas le faire. J'ai passe les 15 jours suivant > l'epuration au chevet de la machine (~3h par jour les 2 premiers jours, > moins apres) pour verifier. Tout etait rentre dans l'ordre. > > Ton cas a l'air *beaucoup* plus severe que celui que j'ai subi. A toi de > voir ce que tu peux/dois consacrer comme temps car quelquesoit l'option > il te _faudra_ du temps, ce que tu perds si la stabilitee de la machine > devenait critique, ce que tu perds (donnees) si tu repars a zero. Bref, > il n'y a que toi a avoir la reponse. "Crois tu que tu pourras/auras les > capacites de remettre la machine en etat?" donne la reponse et tu auras > la solution ;-) > > Depuis le jour ou cela m'est arrive, j'ai adopte deux regles sur mes > machines de production, en dehors du check regulier des logs et tout le > tsoin tsoin: > > 1) toutes les heures un chkrootkit est lance 24h/24h 7j/7j > 2) s'il y a un probleme et qu'une solution existe on l'applique, a > fortiori s'il s'agit de securite: patchs appliques des disponibilite > > Je ne reponds pas a ta question, ceci est uniquement le point de vue de > quelqu'un a qui c'est deja arrive. Pour t'aider, tu peux peut etre te > baser sur les articles de linux magazine qui traitent sur les infections > de machines. > > En esperant t'avoir aider un peu. En fait, j'ai installé des rustines: J'ai remonté le circuit du boot jusqu'à éliminer le lancement du sniffer. Je n'arrive pas à supprimer le bindshell. Visiblement, le vers à l'air d'être assez profondément ancré. Bizarrement, certains fichiers sont grossièrement modifiés mais d'autres le sont plus subtilement. gzip, tar, iptables, etc... Finalement, j'ai procédé comme suit: Sur une autre machine (mon portable tout neuf), j'ai reproduis une sauvegarde saine de la machine, j'ai mis à jour et fait quelques améliorations notamment le nouveau noyau. Puis j'ai crée deux fichiers de la taille exacte de mes deux disques correspondant à / et /usr, je les ai monté en loop et fait une copie de ma nouvelle passerelle. J'ai mis à jour /var et autres histoire de ne pas perdre la base bayes de spamassassin. Puis à l'aide d'un petit utilitaire très pratique que j'ai fait il y a 6 mois (clientpartition et serveurpartition) j'ai transféré via réseau les images sur les disques correspondant, un coup de lilo et hop on reboote et ça a relativement marché, juste l'installation du courrier (spamassassin et la mise automatique au boot du réseau à mettre en place). Le service a été interrompu moins d'une heure cumulée, c'est ma seule petite consolation dans cette histoire. Pour prévenir ce genre de truc, j'ai envie de mettre les repertoires /bin /sbin et éventuellemnt /lib soit sur CD soit sur disque compressé cloop (j'ai compilé le module et les utilitaires) qui sont en écriture seule. Sinon, ayant conservé les images des disques, je vais essayé d'analyser comment le gus a réussi à entrer sur la machine mais j'ai des soupcons sur un compte ftp en écriture possible dont le mot de passe a été diffusé sur une liste (volontairement), peut être une faille de wu-ftpd. Merci des conseils en tout cas. François Boisson > -- > : ______ ______ ______ ______ ______ __ [EMAIL PROTECTED] > : /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276 > : / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276 > : /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546 > > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://savannah.nongnu.org/download/debfr-faq/html/ > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
