Probleme de sécurité avec CC 3.2

Forum traitant de la distribution ClarkConnect. ClarkConnect est une distribution Linux destiné à transformer un simple PC en un routeur/firewall avec certaines fonctions de serveur internet (Web,Mail,FTP....).

Modérateur: modos Ixus

Probleme de sécurité avec CC 3.2

Messagepar LnX » 22 Déc 2005 01:30

Bonjour,

J'ai une clarkconnect 3.2 en mode passerelle toute neuve qui tourne depuis 1 semaine.
Elle remplace un précédent serveur qui etait aussi sous CC mais une vieille version.

En plus des services proposés par CC, j'ai ajouté un serveur usenet (leafnode), un ircd (Unreal), les services (epona), Neostats et un serveur jabber (ejabberd)

Ce soir, par curiosité, j'ai téléchargé chkrootkit depuis le site officiel, et, tout comme ils disent dans la doc, j'ai "make sense" et ./chkrootkit

Et là, horreur, malheur, oh désespoir !

à la fin du rapport :
Code: Tout sélectionner
Checking `bindshell'... INFECTED (PORTS:  4369 31337)
Checking `lkm'... You have    13 process hidden for readdir command
You have    13 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/dnsmasq, /usr/sbin/snort)
eth1: PF_PACKET(/usr/sbin/dnsmasq, /sbin/dhclient)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted


quand je lance un
Code: Tout sélectionner
netstat -a | grep 4369

j'obtiens bien ceci :
Code: Tout sélectionner
[root@albedo ~]# netstat -a | grep 4369
tcp        0      0 *:4369                      *:*                         LISTEN
tcp        0      0 localhost.localdomain:4369  localhost.localdomain:58183 ESTABLISHED
tcp        0      0 localhost.localdomain:58183 localhost.localdomain:4369  ESTABLISHED


Et idem pour 31337 :
Code: Tout sélectionner
[root@albedo ~]# netstat -a | grep 31337
tcp        0      0 *:31337                     *:*                         LISTEN


Que dois-je penser de tout ceci ?
J'ai l'intention d'arreter le serveur, de passer en init 1 afin de relancer un chkrootkit alors que tous les services seront stoppés, est-ce une bonne idée ?
Je précise que dans la configuration du firewall, ces ports ne sont pas ouverts (ou du moins, ils n'apparaissent pas dans la liste des services ouverts.

Merci de vos conseils avisés

Pierre
A+
Avatar de l’utilisateur
LnX
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 02 Nov 2003 01:00

Messagepar LnX » 22 Déc 2005 03:05

Apres un reboot du serveur en telinit 1, j'ai pu détecter que le bindshell correspond au serveur Jabber.
N'ayant pas installé ce serveur depuis les sources, mais depuis le paquet de http://www.process-one.net/fr/projects/ejabberd/download.html, celà peut etre une piste, bien que sincèrement, je doute que ce paquet soit infecté.

Ensuite, il reste le LKM qui, lui, viendrait du serveur mysql.
Un chrootkit -x lkm m'a en effet donné ceci :
Code: Tout sélectionner
[root@albedo ~/chkrootkit-0.46a]# ./chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 2
###
PID  1538(/proc/1538): not in readdir output
PID  1538: not in ps output
CWD  1538: /var/lib/mysql
EXE  1538: /usr/libexec/mysqld
PID  1539(/proc/1539): not in readdir output
PID  1539: not in ps output
CWD  1539: /var/lib/mysql
EXE  1539: /usr/libexec/mysqld
PID  1540(/proc/1540): not in readdir output
PID  1540: not in ps output
CWD  1540: /var/lib/mysql
EXE  1540: /usr/libexec/mysqld
PID  1541(/proc/1541): not in readdir output
PID  1541: not in ps output
CWD  1541: /var/lib/mysql
EXE  1541: /usr/libexec/mysqld
PID  1542(/proc/1542): not in readdir output
PID  1542: not in ps output
CWD  1542: /var/lib/mysql
EXE  1542: /usr/libexec/mysqld
PID  1543(/proc/1543): not in readdir output
PID  1543: not in ps output
CWD  1543: /var/lib/mysql
EXE  1543: /usr/libexec/mysqld
PID  1544(/proc/1544): not in readdir output
PID  1544: not in ps output
CWD  1544: /var/lib/mysql
EXE  1544: /usr/libexec/mysqld
PID  1545(/proc/1545): not in readdir output
PID  1545: not in ps output
CWD  1545: /var/lib/mysql
EXE  1545: /usr/libexec/mysqld
PID  1548(/proc/1548): not in readdir output
PID  1548: not in ps output
CWD  1548: /var/lib/mysql
EXE  1548: /usr/libexec/mysqld
PID 16659(/proc/16659): not in readdir output
PID 16659: not in ps output
CWD 16659: /opt/ejabberd-1.0.0/bin
EXE 16659: /opt/ejabberd-1.0.0/bin/beam
You have    10 process hidden for readdir command
You have    10 process hidden for ps command


Mysql est bien entendu lancé, et il n'est pas vraiment question pour moi de m'en passer.

A votre avis, dois-je m'inquieter ? ou ces rapports ne sont ils que des faux positifs ?

Merci
A+
Avatar de l’utilisateur
LnX
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 02 Nov 2003 01:00


Retour vers ClarkConnect

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron