Le 26.12.2003 22:36, François Boisson a écrit : |[intrusion sur ma passerelle, suite] | |J'ai plusieurs questions à propos de l'intrusion dont j'ai été |victime ce|20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures
|et |j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon |anticipé). |A noter que chkrootkit ne désignait aucun processus mis à part |bindshell,|J'ai fait une image des disques / et /usr (mais ai bêtement oublié le
|swap
|ce qui est dommage) juste après avoir fait un iptables bloquant un
|port
|d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur
|les
|deux disques et étudier un peu ce que le gars a fait. Ma première
|question
|est celle ci, l'un des scripts commence par
|
|
|#!/bin/sh
|cl="ESC[0m"
|cyn="ESC[36m"
|wht="ESC[37m"
|...
|puis on voit des commandes du type
|echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP
|adress...">/dev/stderr
|
|à ma connaissance, c'est pour faire beau à l'écran (clignotement,
|etc),
|peut on détourner ces commandes?Il y a eu le CAN-2003-0063 qui signalait qu'on pouvait exploiter une commande esc :
echo -e '\e]2;s && echo rm -rf *\a' > /tmp/sploit
echo -e '\e[21t' >> /tmp/sploit
cat /tmp/sploit
Peut-être est-ce le même genre d'exploit ?
--
- Jean-Luc
|
|Apparemment le gars s'est déchainé vers 19h: Il a récupéré les
|fichiers
|shadow, passwd, puis a cherché sur la machine successivement des
mp3,
|des
|mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers
|czz:
|pour être exact:
|
|...
|echo
|echo "${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz...
|please
|wait (t his can take several minutes)" >/dev/stderr
|echo "Searching for ccz..."
|echo
|...
|
|Que sont ces ccz? D'après Google, ce serait des fichiers de
créations
|de |CD/DVDrom pour des outils Windows, sur une machine Linux, c'est |idiot! |Quelqu'un a-t-il une idée? | |D'après les traces j'ai vu, le gars a installé SuckIT qui patche |directement le noyau, et permet de cacher des processus, apparemment |il |modifie directement le noyau en mémoire via kmem... |Ces fameux processus cachés existent tout de même, je veux dire |qu'une |commande du type ||# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline && echo $i
|" |pid existant"; done | |m'aurait surement fourni TOUS les pids des processus y compris les |cachés |je pense. Quelqu'un peut il me confirmer cela? | |Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer |l'environnement, la ligne de commande, etc et identifier plus |clairement |le vers. | |Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? |En |épluchant les logs, je vois plein de connections wu-ftpd sans |chargement|de fichiers correspondant mais venant d'adresses très différentes, le
|gars |masquait son IP mais dans ce cas, pouvait il avoir les réponses en |retour |ou procédait-il à l'aveugle? | |Désolé de ce message HS et bonnes fêtes | |François Boisson | | |-- |Pensez à lire la FAQ de la liste avant de poser une question : |http://savannah.nongnu.org/download/debfr-faq/html/ | |Pensez à rajouter le mot ``spam'' dans vos champs "From" et |"Reply-To:" | |To UNSUBSCRIBE, email to [EMAIL PROTECTED] |with a subject of "unsubscribe". Trouble? Contact |[EMAIL PROTECTED] | |
pgpBwDiDuJ9pS.pgp
Description: PGP signature
