SUID[0]

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SUID[0]

Messagepar MasterSleepy » 18 Mars 2005 21:34

Salut à tous,

Voilà on continue sur la lancer, je me suis fais a nouveau hacker tout à l'heure.
Heureusement je me suis connecter qq minutes après l'exploit et j'ai pu tout arrêté quand il était encore temps.
Le problème est que cette fois je n'ai trouvé aucune trace de ce qu'ils ont utilisé.

Il y avait un programe qui était executé depuis le répertoire /tmp et qui s'appelait 9000.
Il y avait aussi dans ce répertoire plusieur page web faisant référence à un site web www.ecst4sy.hpgvip.ig.com.br. Du coup j'ai été voir et j'ai trouvé le gaillard qui m'a fait ça, p4ssw0rd_X.

Est-ce que quelqu'un sait comment il a réussit à placer et à executer ce programme sur mon serveur??

D'avance Merci.
A+.
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar rodolphedj » 18 Mars 2005 21:45

surement par un acces telnet, ou ssh :?
ou bien par des pages PHP...

tu utilisens PORT OPEN sur ta SME ? :roll:
http://forums.fr.ixus.net/viewtopic.php ... =port+open


n.b: rien à voir, c'est quoi ton portail ? je l'aime bien :wink:
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar braouazou » 18 Mars 2005 21:56

Pour que le programme soit lancé depuis /tmp, c'est sans doute depuis un script php ou cgi mal 'protégé'.

Le mieux est sans doute de monter /tmp de façon à ce que rien ne puisse s'exécuter depuis ce répertoire accessible en écriture à tous.
A condition que /tmp soit sur une partition séparée...

Cela peut être fait en ajoutant les options noexec et nosetuid au fichier /etc/fstab, par exemple :
Code: Tout sélectionner
/dev/hdb5    /tmp              ext3  noexec,nosuid           0       2


Puis, en tant que root :
Code: Tout sélectionner
mount -o remount /tmp


J'ai quelques soucis sous Debian Sarge avec l'option noexec (notamment à la rotation des logs de MySQL, je n'ai toujours pas compris pourquoi), il se peut donc que tu rencontres d'autres soucis, quoi qu'il en soit, moins importants qu'une brêche ouverte par un mauvais script ;-)

@++
echo ?16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq?|dc
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar rodolphedj » 18 Mars 2005 21:58

et puis MasterSleepy, sur son site, il en a des scriptssssssssssssssss

va trouver lequel a une porte ouverte....

examine, quand même les logs de httpd
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar MasterSleepy » 18 Mars 2005 21:59

Non pas par ssh ni même telnet, ça c'est sur.
Il est passé par apache ou une faille dans un script php ou cgi.

Non, je n'utilise pas port open sur ma SME.

En plus le programme lancer écoutait sur le port 9000.

Pour mon portail, j'utilise postnuke avec plein de fonction en plus, ça doit surement venir de la mais vu l'ampleur des scripts ça risque d'être un peu chaud à trouver.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar braouazou » 18 Mars 2005 22:13

En cherchant un peu "p4ssw0rd_X" sur Google, on se rend compte que ce type a l'air très intéressé par le defacing de site web.
Vu le nombre de réponses, méfie toi tout de même, car il ne s'agit vraisemblablement pas d'un script kiddy. Comment as-tu trouvé qu'il s'agissait de celui-là ?

As-tu vérifié qu'il n'avait pas modifié les commandes de base (ps, ls ...) pour cacher ses méfaits ?

@++
echo ?16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq?|dc
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar MasterSleepy » 18 Mars 2005 22:14

Voilà j'ai trouvé pqr ou il est passé.
J'utilsait phpbb2 en module pour postnuke.
Et il est passé par là, bon conclusion on n'est jamais à l'abrit et on est jamais assez à jour dans tout ces soft ou script utilsé.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar MasterSleepy » 18 Mars 2005 22:44

braouazou a écrit:En cherchant un peu "p4ssw0rd_X" sur Google, on se rend compte que ce type a l'air très intéressé par le defacing de site web.
Vu le nombre de réponses, méfie toi tout de même, car il ne s'agit vraisemblablement pas d'un script kiddy. Comment as-tu trouvé qu'il s'agissait de celui-là ?

As-tu vérifié qu'il n'avait pas modifié les commandes de base (ps, ls ...) pour cacher ses méfaits ?

@++

Non il ne les a pas modifié.
J'ai trouvé le programme qui était executé assez facilement (ps) et ai détecté qu'il écoutait à l'extérieur (netstat) sans trop de problème.
Effectivement il a simplement modifié ma home page avec un message du style "p4ssw0rd_X est passé par ici".
Peut-être n'a-t-il pas eu le temps de faire plus :?: :?: :?:

Ce qui ne tue dans cette histoire, c'est que ce genre d'attaque est détecté par snort sans problème, hors chez moi il s'est planté se matin.
Snort s'est planté à 5h30 et à 16h44 le site était hacké.

Enfin maintenant ça devrait aller, tout est mis à jour, jusqu'au prochain.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar rodolphedj » 18 Mars 2005 23:52

justement, il a peut être reussi à faire planter, snort, non ?! :?
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar MasterSleepy » 19 Mars 2005 10:42

Salut,

Je pense pas car snort c'est planté le matin et je pense que j'en suis responsable :cry:

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar Grand-Pa » 20 Mars 2005 01:29

MasterSleepy a écrit:Je pense pas car snort c'est planté le matin et je pense que j'en suis responsable :cry:

A moins que tu ne sois absolument certain que c'est toi qui est cause, vérifie bien ton serveur : lorsque le miens a été hacké (la 2ème fois car à la première, le "gentil" pirate ma fait un non moins gentil rm -rf /var/log...), l'attaque s'est déroulée en 2 étapes.
En gros, à 8h30, un de ses scripts a exploité une faille (Awstats dans mon cas) et a installé un rootkit. Mais le Pénible n'a commencé à faire mumuse que vers 11h30, sûrement le temps qu'il ait fini son sale boulot sur une autre machine. :evil:

Bref, à ta place, je testerais l'intégrité de mon serveur avec rootkit hunter et chkrootkit. 8)
Jette un oeil sur /var/tmp aussi. :wink:
Et hop, finis les galons !
Avatar de l’utilisateur
Grand-Pa
Vice-Amiral
Vice-Amiral
 
Messages: 728
Inscrit le: 08 Avr 2002 00:00
Localisation: Gap, France


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité