Avis de tout le monde sur les exploits.

[bruno]

Si bien sûr popov que le problème est alarmant. <BR> <BR>Cependant, il est vrai que mettre en ligne les rootkits pour que tout le monde puisse les télécharger et les étudier, c'est un peu tenter le diable. Je ne doute pas que 99% des membres et visiteurs sont des gens très honnêtes. <BR> <BR>Par contre, j'ai peur que le fait de mettre en ligne ce genre de bestioles ne ramène sur Ixus des gens un peu moins fréquentables intéressés d'un peu trop près au côté obscur de la sécurité informatique, et dont les posts viendraient nuire à la qualité des forums. <BR> <BR>Je pense que l'on peut en parler, donner la liste des fichiers qui composent ces rootkits, donner quelques bouts de code intéressants (quelques bouts seulement). La plupart des pirates en herbe étant de véritables script-kiddies, ces derniers sont incapables de reconstituer un script complet et fonctionnel à partir d'une routine intéressante. En ce qui concerne les pirates plus qualifiés, je pense qu'ils ont bien d'autres sources d'infos qu'un site web comme Ixus. <BR> <BR>Donc, rien n'empêche de parler de ces rootkits dans le forum sécurité, au contraire. Par contre, je pense qu'on pourrait procéder comme suit pour en parler. <BR> <BR>Un membre récupère un rootkit et désire l'étudier avec d'autres membres. Il l'annonce, ceux qui sont intéressés le contactent par message privé, et le rootkit circule par email entre les membres qui veulent participer. <BR>Ensuite, la discussion est ouverte dans le forum au niveau des fonctionnalités du programme, des traces qu'il laisse, de la façon dont il se cache ... <BR> <BR>Qu'en pensez-vous ? <BR> <BR>A+ <BR> <BR>Bruno

[grosbedos]

c'est la seule soluce viable je pense.

[remi]

Je suis tout a fait d'accord avec toi bruno ! <BR>en effet l'utilisation de ces scripts etant tres aisé, je pense qu'il vaut mieux eviter en plus de les distribuer... <BR>

[popov]

Voila ceci me convient parfaitement, ton idée bruno, est bonne ! on fera comme ca ! <BR>Reste qu'a la communauté sois au courant de cette facon de faire. <BR>Merci. <BR> <BR>

[dbomber]

Il est clair qu'il est trés interessant de mieux connaitre les outils d'intrusion pour mieux les contrer...je suis entiérement d'accord avec le mode de fonctionnement de bruno.... <BR> <BR>par contre est ce que quelqu'un pourrait me compiler chkrootkit...pour ipcop? merci d'avance.... <IMG SRC="images/smiles/icon_bise.gif">

[popov]

ben ecoute, tu Dl le packetage en question chez <!-- BBCode auto-link start --><a href="http://www.chkrootkit.org/" target="_blank">www.chkrootkit.org/</a><!-- BBCode auto-link end -->, tu dezippes et derates. Tu as tout simplement un binaire tout pret, il suffit de le lancer (./chkrootkit). <BR> <BR>et tu obtiendra un liste de controle de tes binaires de ta distribution. <BR> <BR>par exemple : <BR> <BR>./chkrootkit <BR>ROOTDIR is `/' <BR>Checking `amd'... not found <BR>Checking `basename'... not infected <BR>Checking `biff'... not found <BR>Checking `chfn'... not infected <BR>Checking `chsh'... not infected <BR>Checking `cron'... not infected <BR>Checking `date'... not infected <BR>Checking `du'... not infected <BR>Checking `dirname'... not infected <BR>Checking `echo'... not infected <BR>Checking `egrep'... not infected <BR>Checking `env'... not infected <BR>Checking `find'... not infected <BR>Checking `fingerd'... not infected <BR>Checking `gpm'... not infected <BR>Checking `grep'... not infected <BR>Checking `hdparm'... not infected <BR>Checking `su'... not infected <BR>Checking `ifconfig'... not infected <BR>Checking `inetd'... not tested <BR>Checking `inetdconf'... not found <BR>Checking `identd'... not infected <BR>Checking `init'... not infected <BR>Checking `killall'... not infected <BR>Checking `ldsopreload'... not infected <BR>Checking `login'... not infected <BR>Checking `ls'... not infected <BR>Checking `lsof'... not infected <BR>Checking `mail'... not infected <BR>Checking `mingetty'... not infected <BR>Checking `netstat'... not infected <BR>Checking `named'... not found <BR>Checking `passwd'... not infected <BR>.... <BR> <BR>

[popov]

aussi sache que tu as des options, il faut regarder la doc pour cela <IMG SRC="images/smiles/icon_razz.gif">

[popov]

<!-- BBCode auto-link start --><a href="http://www.linuxsecurity.com" target="_blank">www.linuxsecurity.com</a><!-- BBCode auto-link end --> <BR>et <BR><!-- BBCode auto-link start --><a href="http://packetstorm.linuxsecurity.com/exploits20.shtml" target="_blank">http://packetstorm.linuxsecurity.com/exploits20.shtml</a><!-- BBCode auto-link end --> <BR>pour des exploits a analyser !

[vanvan]

parlons d'authentification. <BR>un moyen simple de permettre l'accès à ce type de script, serait de s'authentifier avec nom, prénom, fonction au sein d'une entreprise ou études,....... <BR>ça élimine déjà pas mal de monde, du genre ceux qui récupère les codes de façon anonyme, pour les exécuter. Car on peut se dire qu'un admin réseau sait très bien ce qu'il en coûte juridiquement d'abuser de ce type de services (il y en aura toujours qui feront des boulettes, mais ..... ). <BR> <BR>Je sais que cette solution n'est qu'une façade, car Monsieur Dupont peut très bien récupérer le script pour étude dans sa boîte d'info et le filer à son rejeton ou l'exécuter en passant, le soir, dans la peau du pseudo "totoaimelesfraises" pour hacker un réseau. <BR> <BR>Mais il est clair que pour lutter contre du piratage, y a pas 36 solutions, faut connaître les dernières tendances. <BR> <BR>Donc pour commencer, pourquoi ne pas permettre déjà aux membres d'ixus d'accéder à ce type de services ( je parle pas des membres qui se font un compte juste pour choper le script, genre 2 posts et hop !!!! voilà la récup ! ), mais en montrant pattes blanches. <BR> <BR>Ou encore de créer un site avec une authentification et vérification des données par une personne ( mais là, ça demande déjà une sacré structure ) pour être à peut près sur du réceptionniste. <BR>Je sais il y aura des fuites, mais ça limite déjà pas mal. <BR>Perso, je prendrais la 1ere solution, pour l'instant. <BR>qu'est ce que vous en pensez ?

[cain]

Je trouve que ta méthode est effectivement la plus adéquate Bruno ! <BR> <BR>Pour répondre à Vanvan, le problème de l'authentification repose sur les informations fournies. Celles-ci étant déclaratives... <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>Et si l'on veut faire les choses sérieusement, cela suppose une vérification de ces informations (ce que tu suggères dans ta 2ème solution). Et là effectivement il y a une structure à mettre en place, ce qui demande du temps et du monde <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>C'est pourquoi, selon moi, la solution pronée par Bruno me semble la plus adaptée, d'autant plus qu'elle se limite aux membres. Mais bon, cette opinion n'engage que moi. <IMG SRC="images/smiles/icon_biggrin.gif">

[bruno]

C'est vrai que ce serait vraiment nickel ce que tu proposes Vanvan, on serait très heureux de pouvoir proposer ça. <BR>Malheureusement, ça demanderait beaucoup de temps pour pouvoir le gérer. <BR>De plus, ça risquerait d'être assez lourd car il faudrait trouver un moyen, comme le dit Cain à juste titre, pour authentifier formellement une personne physique derrière un pseudo. Dans ce cas, où s'arrête-t'on ? <BR> <BR>On n'a pas la possibililité financière d'envoyer comme le fait free.fr un courrier à toute personne qui s'inscrit pour avoir accès au service. C'est une méthode relativement bonne, quoique loin d'être infaillible pour s'assurer de l'adresse de quelqu'un. <BR> <BR>On fait quoi ? On demande la photocopie de la carte d'identité ? <IMG SRC="images/smiles/icon_frown.gif"> Il n'en est pas question. On ne va pas en arriver là. Et puis bonjour pour gérer ça. <BR> <BR>Alors, dans ce cas, une solution pourrait être, de créer un forum privé pour les membres que ça intéresse. Bien sûr, pour avoir accès il faudrait avoir un grade minimum sur Ixus, ce qui impliquerait d'avoir déjà posté pas mal de messages avant. On continuera bien évidemment à vérifier que les gens ne postent pas pour monter en grade. <BR> <BR>Je ne sais pas ce que vous en pensez. <BR> <BR>A+ <BR> <BR>Bruno

[hb]

l'idée du grade...humm j'y pensais bien aussi mais ... ça fait un peu sélect non tu crois pas ? <BR>le mec fiable qui arrive sur Ixus pour la première fois (merci google pour le rabatage) qu'es super branché sécu et tout et tout, il pourrais pas chater avec nous parce qu'il n'aurait pas le quota !!! dur dur d'être un bébé <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>bon c'est bien de critiquer vous me direz, c'est facile, mais trouver une solution c'est autre chose un !! <BR> <BR>bon alors je me creuse je me recreuse.....dur !!!!! <BR> <BR>je vais répondre par une question : <BR> <BR>vous qui avez un objectif sain avec ces scripts, qui connaissez vous sur Ixus qui pourrait répondre de votre état d'esprit ? n'avez vous pas échangé hors forum avec X ou Y des infos plus personnelles, peut être même professionel, ou même mieux vous habitez géographiquement pas loin et vous vous etes déjà rencontré .... <BR>oui mais là, vous me direz, on se met à deux kids et l'un soutien l'autre !!!! <BR>ouais, c'est vrai, c'est dur de réfléchir et de taper un post un même temps, le systeme sans faille n'existe pas on le sais puisqu'on est tous là.... <BR>pourquoi ne pas imposer un grade sur le "parain" pour amener de nouvelles recrues ? je parle pas d'un cautionneur, il ne s'engage pas pour lui, il le considère juste "fiable" d'après lui ...... <BR>bon j'arrete mon délire là non ?????

[popov]

Bon , Bon , Finalement je constate que ma question a vraiment porté ses fruits. Qualifiant ce type d'intrusion au même niveau ques les trojans et virus, je me suis demandé à faire une union pour tirer l'alarme au plus vite afin de prevenir la communautés ! <BR>Cependant l'etude du sujet est fort difficile pour analyser avec le soutien de la communauté. Effectivement l'echange via le Dl des sources a partir du site ou le partage inter IXUSien laisse présager le doute des interets. Il n'est evidemment pas possible d'obtenir des garanties de la confiance entre nous (ce que je constate et regrette). <BR>Je pense qui faudra tout simplement opter à realiser un TOP TEN des exploits à l'heure actuelle afin d'alerter nos Gourous-Newbies, a ce qu'il mette soit à jour les binaires ou etablir des nouvelles regles (Firewall, IDS, ...). <BR>Pour les exploits à analyser, reste ,je pense, a creer une branche du forum (ce qui sera normalement surveillé) pour ceux qui veulent approfondir et partager aupres de la communautée (Tout en restant prudent dans les propos). <BR> <BR>Je repete encore une fois, je tire vraiment l'alarme haut et fort, il est vraiment le temps de se mobiliser afin d'informer au plus vite la communautée de ce risque assez important ! l'année 2003 est suffisamment revélateur.

[cain]

On pourrait peut-être garder l'ensemble de ces idées sous le coude et en rediscuter lorsque l'anniversaire d'ixus se fera ? (ça ne devrait plus être très long, qu'en dis-tu Bruno ?) <BR>Ca permettra de se rencontrer et d'aviser à ce moment-là de visu. <IMG SRC="images/smiles/icon_biggrin.gif">

[dbomber]

Pour en revenir à chkrootkit, je l'ai detaré et quand je le lance il me met : <BR>chkrootkit: can't find `strings'. <BR> <BR>Ben alors je comprends pas tout... <BR> <BR>Pourtant j'ai bien un fichier strings.c dans le répertoire de chkrootkit. <BR> <BR>Si quelqu'un a une idée, elle est la bienvenue <BR> <IMG SRC="images/smiles/icon_bise.gif">