[piratage] impossible d'effacer un fichier

[popov1100]

'lut

je me suis fais pirater mon sme, rkhunter a trouvé un rootkit shv4

j'ai supprimé l'acces ssh

mais il reste un fichier tres suspect :

[root@sme /]# ll /usr/bin/md5sum
-rwxr-xr-x 1 122 114 31452 Mar 23 2002 /usr/bin/md5sum

en etant root, pas possible de toucher a se fichier pour remettre le version d'origne
qui est dans le rpm textutils

pas possible de renomer.....

bref, j'ai besoin de vos lumieres


merci d'avance

[micjack]

je me suis fais pirater mon sme, rkhunter a trouvé un rootkit shv4

j'ai supprimé l'acces ssh

mais il reste un fichier tres suspect :

[root@sme /]# ll /usr/bin/md5sum
-rwxr-xr-x 1 122 114 31452 Mar 23 2002 /usr/bin/md5sum

Le md5, est celui qui a permit à Rkhunter de faire la somme de cotrole sur les fichiers, et donc de decouvrir le kit...

Il te reste à faire des recherches sur le rootkit "shv4" (Qui semblerait etre lié à SSH)

Je n'utilise pa de SME, mais tu peux deja regarder dans les log /var/log/messages
Et /var/log/secure (Si ils existent sur SME )

Si tu as ouvert ton port 22 sur le net pour un acces distant, il est preferable de changer de port [en ce que tu veux] et parametrer ton acces client dessus.

[ohmbar]

Pour protéger l'accès ssh, je conseille d'interdire la saisie de mot de passe et d'utiliser des paires de clefs asymétriques.

Ou de n'autoriser le ssh que sur un réseau local (eq VPN)

[popov1100]

merci de vos conseils,
pour l'instant, et dans l'urgence j'ai desactivé ssh
en plus y'a toujours le fichier md5sum foireux, alors mefiance

a suivre

[micjack]

Ou de n'autoriser le ssh que sur un réseau local (eq VPN)

Ainsi qu'interdire la connexion en root.... Rkhunter le previent pourtant....

Si le fichier de conf n'est pas parametré ainsi, il le signale...

[HaM]

Bien si tu ne trouve pas de solution pour supprimer le fichier, tu peux toujours booter sur une knoppix, monter le disque et supprimer le fichier (ça devrait être possible dans ces conditions).

[micjack]

Non, notre ami n'affirme pas que le fichier est contaminé, mais il le suppose...

Le fichier "md5sum" est un fichier systeme et un passage de scan obligatoire pour Rkhunter, il est verifié lui même avant de passer à la suite... Si le fichier était corompu, il aurrait eu un message de corruption bien avant...

Mais on a pas le log complet du scan, donc ?

Un copié/collé du resultat serrait le bien venu...

[popov1100]

ok, je vais vous envoyer les log de rkhunter ce soir
(et oui, j'ai coupé l'acces ssh)

sinon rkhunter signale que md5sum est corrompu
ce qui m'inquiete aussi c'est les proprietaires du fichier
122 et 114 qui b ien sur ne correspondent a rien

sinon j'ai trouvé dans les recoins de mon site, aidé en cela par le .bash_history
deux fichier .php qui resemble a du phishing de compte ebay
je vais etudier mes log apache

[micjack]

Effectivement, si rkhunter te signal vraiment qu'il est corompu, c'est plus la meme chose...
J'ai assayé via Winscp de le renommé et il n'y a aucun probleme, il est donc en utilisation chez toi.

Du coup, l'idée de Ham est une bonne possibilité.

Mais il faudrait etre certain par la suite qu'il n'y a rien d'autre qui traine sur ton serveur (un script ou autre cochonerie qui c'est occupé du cas md5sum)

J'ai lu plusieur fois, que certains sont passé par une reinstallation complete, mais faut quand meme rechercher par quel moyen tu en est arrivé la pour que cela ne ce reproduise plus ...

Comme dit plus haut, c'est visiblement par SSH, donc change de port, ou plus simplement, si tu n'en a pas besoin pour un acces exterieure, desactive le....

Mais le but quand meme, c'est de savoir comment le rootkit a pu etre installé

[popov1100]

>>>>Effectivement, si rkhunter te signal vraiment qu'il est corompu, c'est plus la meme chose...
>>>>J'ai assayé via Winscp de le renommé et il n'y a aucun probleme, il est donc en utilisation chez toi.


que neni,
le probleme ne vient pas qu'il soit en cours d'utilisation
le probleme vient que root n'a pas les droit necessaire
comme l'indique la commande ll

{root@sme /]# ll /usr/bin/md5sum
-rwxr-xr-x 1 122 114 31452 Mar 23 2002 /usr/bin/md5sum

ca devrait etre du genre

-rwxr-xr-x 1 root root 31452 Mar 23 2002 /usr/bin/md5sum

[/quote]

[micjack]

Autant pour moi, j'avais pas fait gaffe que les droits avaient été modifiés

A mon avis, tu te retrouvera avec le meme probleme en bootant sur un live cd...

As tu assayé avec umask de redonner les droits au fichier ?

[HaM]

L'interet de booter sur un live cd est justement que les droits non plus d'importance puisqu'il ne sont plus appliquable.

[micjack]

Tu dois surrement avoir raison (j'ai jamais essayé ) puisque le Linux n'est pas actif, donc l'initialisation des droits .

Mais bon, sous un Windows XP par exemple, tu ne recupere pas un dossier qui ne t'apartien pas, meme en installant le disque en esclave sur une autre becane. Il me semble logique que sous Linux c'est encore plus rude...Mais bon, comme j'ai pas eu l'occasion de tester...

[HaM]

Le mieux pour êtrre sure est encore d'essayer, popov1100 pourra peut être tirer ça au clair

[popov1100]

suite des rejouissances
j'ai booté l'anglais hors de france sur un live cd
ubuntu, pas eu le temps de graver une knoopix

et bien, ca veux pas
je ne peux pas supprimer md5sum
ni changer les droits

bizarre....