[intrusion sur ma passerelle, suite]
J'ai plusieurs questions à propos de l'intrusion dont j'ai été victime ce
20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures et
j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon anticipé).
A noter que chkrootkit ne désignait aucun processus mis à part bindshell,
J'ai fait une image des disques / et /usr (mais ai bêtement oublié le swap
ce qui est dommage) juste après avoir fait un iptables bloquant un port
d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur les
deux disques et étudier un peu ce que le gars a fait. Ma première question
est celle ci, l'un des scripts commence par
#!/bin/sh
cl="ESC[0m"
cyn="ESC[36m"
wht="ESC[37m"
...
puis on voit des commandes du type
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
adress...">/dev/stderr
à ma connaissance, c'est pour faire beau à l'écran (clignotement, etc),
peut on détourner ces commandes?
Apparemment le gars s'est déchainé vers 19h: Il a récupéré les fichiers
shadow, passwd, puis a cherché sur la machine successivement des mp3, des
mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers czz:
pour être exact:
...
echo
echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... please
wait (t his can take several minutes)" >/dev/stderr
echo "Searching for ccz..."
echo
...
Que sont ces ccz? D'après Google, ce serait des fichiers de créations de
CD/DVDrom pour des outils Windows, sur une machine Linux, c'est idiot!
Quelqu'un a-t-il une idée?
D'après les traces j'ai vu, le gars a installé SuckIT qui patche
directement le noyau, et permet de cacher des processus, apparemment il
modifie directement le noyau en mémoire via kmem...
Ces fameux processus cachés existent tout de même, je veux dire qu'une
commande du type
# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline && echo $i "
pid existant"; done
m'aurait surement fourni TOUS les pids des processus y compris les cachés
je pense. Quelqu'un peut il me confirmer cela?
Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer
l'environnement, la ligne de commande, etc et identifier plus clairement
le vers.
Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? En
épluchant les logs, je vois plein de connections wu-ftpd sans chargement
de fichiers correspondant mais venant d'adresses très différentes, le gars
masquait son IP mais dans ce cas, pouvait il avoir les réponses en retour
ou procédait-il à l'aveugle?
Désolé de ce message HS et bonnes fêtes
François Boisson
