[piratage] impossible d'effacer un fichier

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

[piratage] impossible d'effacer un fichier

Messagepar popov1100 » 08 Fév 2006 22:55

'lut

je me suis fais pirater mon sme, rkhunter a trouvé un rootkit shv4

j'ai supprimé l'acces ssh

mais il reste un fichier tres suspect :

[root@sme /]# ll /usr/bin/md5sum
-rwxr-xr-x 1 122 114 31452 Mar 23 2002 /usr/bin/md5sum

en etant root, pas possible de toucher a se fichier pour remettre le version d'origne
qui est dans le rpm textutils

pas possible de renomer.....

bref, j'ai besoin de vos lumieres


merci d'avance
V++

JMD en R1100GS
Avatar de l’utilisateur
popov1100
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 21 Oct 2003 00:00
Localisation: Saint-Omer (62500)

Messagepar micjack » 08 Fév 2006 23:48

popov1100 a écrit:je me suis fais pirater mon sme, rkhunter a trouvé un rootkit shv4

j'ai supprimé l'acces ssh

mais il reste un fichier tres suspect :

[root@sme /]# ll /usr/bin/md5sum
-rwxr-xr-x 1 122 114 31452 Mar 23 2002 /usr/bin/md5sum

Le md5, est celui qui a permit à Rkhunter de faire la somme de cotrole sur les fichiers, et donc de decouvrir le kit...

Il te reste à faire des recherches sur le rootkit "shv4" (Qui semblerait etre lié à SSH)

Je n'utilise pa de SME, mais tu peux deja regarder dans les log /var/log/messages
Et /var/log/secure (Si ils existent sur SME ) :?

Si tu as ouvert ton port 22 sur le net pour un acces distant, il est preferable de changer de port [en ce que tu veux] et parametrer ton acces client dessus.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar ohmbar » 08 Fév 2006 23:53

Pour protéger l'accès ssh, je conseille d'interdire la saisie de mot de passe et d'utiliser des paires de clefs asymétriques.

Ou de n'autoriser le ssh que sur un réseau local (eq VPN)
ohmbar
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 10 Déc 2004 19:06

Messagepar popov1100 » 09 Fév 2006 00:01

merci de vos conseils,
pour l'instant, et dans l'urgence j'ai desactivé ssh
en plus y'a toujours le fichier md5sum foireux, alors mefiance

a suivre
V++

JMD en R1100GS
Avatar de l’utilisateur
popov1100
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 21 Oct 2003 00:00
Localisation: Saint-Omer (62500)

Messagepar micjack » 09 Fév 2006 00:09

Ou de n'autoriser le ssh que sur un réseau local (eq VPN)

Ainsi qu'interdire la connexion en root.... Rkhunter le previent pourtant....

Si le fichier de conf n'est pas parametré ainsi, il le signale...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar HaM » 09 Fév 2006 01:21

Bien si tu ne trouve pas de solution pour supprimer le fichier, tu peux toujours booter sur une knoppix, monter le disque et supprimer le fichier (ça devrait être possible dans ces conditions).
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar micjack » 09 Fév 2006 02:28

Non, notre ami n'affirme pas que le fichier est contaminé, mais il le suppose...

Le fichier "md5sum" est un fichier systeme et un passage de scan obligatoire pour Rkhunter, il est verifié lui même avant de passer à la suite... Si le fichier était corompu, il aurrait eu un message de corruption bien avant...

Mais on a pas le log complet du scan, donc ?

Un copié/collé du resultat serrait le bien venu...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar popov1100 » 09 Fév 2006 10:53

ok, je vais vous envoyer les log de rkhunter ce soir
(et oui, j'ai coupé l'acces ssh)

sinon rkhunter signale que md5sum est corrompu
ce qui m'inquiete aussi c'est les proprietaires du fichier
122 et 114 qui b ien sur ne correspondent a rien

sinon j'ai trouvé dans les recoins de mon site, aidé en cela par le .bash_history
deux fichier .php qui resemble a du phishing de compte ebay
je vais etudier mes log apache
V++

JMD en R1100GS
Avatar de l’utilisateur
popov1100
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 21 Oct 2003 00:00
Localisation: Saint-Omer (62500)

Messagepar micjack » 09 Fév 2006 14:35

Effectivement, si rkhunter te signal vraiment qu'il est corompu, c'est plus la meme chose...
J'ai assayé via Winscp de le renommé et il n'y a aucun probleme, il est donc en utilisation chez toi.

Du coup, l'idée de Ham est une bonne possibilité.

Mais il faudrait etre certain par la suite qu'il n'y a rien d'autre qui traine sur ton serveur (un script ou autre cochonerie qui c'est occupé du cas md5sum)

J'ai lu plusieur fois, que certains sont passé par une reinstallation complete, mais faut quand meme rechercher par quel moyen tu en est arrivé la pour que cela ne ce reproduise plus ...

Comme dit plus haut, c'est visiblement par SSH, donc change de port, ou plus simplement, si tu n'en a pas besoin pour un acces exterieure, desactive le....

Mais le but quand meme, c'est de savoir comment le rootkit a pu etre installé :?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar popov1100 » 09 Fév 2006 15:36

>>>>Effectivement, si rkhunter te signal vraiment qu'il est corompu, c'est plus la meme chose...
>>>>J'ai assayé via Winscp de le renommé et il n'y a aucun probleme, il est donc en utilisation chez toi.


que neni,
le probleme ne vient pas qu'il soit en cours d'utilisation
le probleme vient que root n'a pas les droit necessaire
comme l'indique la commande ll

{root@sme /]# ll /usr/bin/md5sum
-rwxr-xr-x 1 122 114 31452 Mar 23 2002 /usr/bin/md5sum

ca devrait etre du genre

-rwxr-xr-x 1 root root 31452 Mar 23 2002 /usr/bin/md5sum

[/quote]
V++

JMD en R1100GS
Avatar de l’utilisateur
popov1100
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 21 Oct 2003 00:00
Localisation: Saint-Omer (62500)

Messagepar micjack » 09 Fév 2006 16:05

Autant pour moi, j'avais pas fait gaffe que les droits avaient été modifiés :?

A mon avis, tu te retrouvera avec le meme probleme en bootant sur un live cd...

As tu assayé avec umask de redonner les droits au fichier ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar HaM » 09 Fév 2006 16:09

L'interet de booter sur un live cd est justement que les droits non plus d'importance puisqu'il ne sont plus appliquable.
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar micjack » 09 Fév 2006 16:21

Tu dois surrement avoir raison (j'ai jamais essayé ) puisque le Linux n'est pas actif, donc l'initialisation des droits .

Mais bon, sous un Windows XP par exemple, tu ne recupere pas un dossier qui ne t'apartien pas, meme en installant le disque en esclave sur une autre becane. Il me semble logique que sous Linux c'est encore plus rude...Mais bon, comme j'ai pas eu l'occasion de tester...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar HaM » 09 Fév 2006 16:46

Le mieux pour êtrre sure est encore d'essayer, popov1100 pourra peut être tirer ça au clair :)
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar popov1100 » 10 Fév 2006 01:09

suite des rejouissances
j'ai booté l'anglais hors de france sur un live cd
ubuntu, pas eu le temps de graver une knoopix

et bien, ca veux pas
je ne peux pas supprimer md5sum
ni changer les droits

bizarre....
V++

JMD en R1100GS
Avatar de l’utilisateur
popov1100
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 21 Oct 2003 00:00
Localisation: Saint-Omer (62500)

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité