chkrootkit : intall ???

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar PengouinPdt » 21 Fév 2004 13:18

elo, all... <BR> <BR>POur mes servers, j'utilise un outil de vérification qui s'appelle 'chkrootkit'... <BR>j'aimerais tester mon fw IPCop avec... où me conseillez-vous de l'installer ? <BR>sans que cela casse IPCop !?! <BR>
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar Gesp » 21 Fév 2004 14:05

dans tmp, tu crées un sous-répertoire.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar PengouinPdt » 21 Fév 2004 18:18

Gesp, merci à toi, je savais que tu pouvais me répondre ; mais, j'ai pas osé te le demander directement ... <BR> <BR>lol <BR><IMG SRC="images/smiles/icon_wink.gif">
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar PengouinPdt » 21 Fév 2004 18:29

Snifff, j'ai bien pu décompresser l'archive... mais comme il faut faire un "make sense" avant d'user de l'outil, je ne peux rien faire : <BR>bash: make: command not found <= tel est le verdict !!!
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar Fesch » 21 Fév 2004 19:51

Il faut compiler sur un autre Linux ... puis copier sur IpCOP. Attention, il faut que l'autre IpCOP soit compatible, c'est à dire un noyau et une version de GLibC compatible ... la Debian Woody par exemple et bonne, la Knoppix 3.3 est trop récente et ne fonctionne pas ...
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar PengouinPdt » 22 Fév 2004 01:24

Arfff, toujours cette fameuse compatibilité Debian GNU/Linux, je mettais déjà amusé à installer sur un HD sur un second ordi... mais je n'aurais pas pensé à faire ainsi pour un soft <IMG SRC="images/smiles/icon_wink.gif"> !!! <BR> <BR>Ca tombe franchement bien, je sais où trouver un server 'Debian GNU/Linux stable'... <IMG SRC="images/smiles/icon_wink.gif">
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar PengouinPdt » 22 Fév 2004 01:53

Le verdict est là !!! <BR> <BR>ROOTDIR is `/' <BR>Checking `amd'... not found <BR>Checking `basename'... not infected <BR>Checking `biff'... not found <BR>Checking `chfn'... not infected <BR>Checking `chsh'... not infected <BR>Checking `cron'... not infected <BR>Checking `date'... not infected <BR>Checking `du'... not infected <BR>Checking `dirname'... not infected <BR>Checking `echo'... not infected <BR>Checking `egrep'... not infected <BR>Checking `env'... not infected <BR>Checking `find'... not infected <BR>Checking `fingerd'... not found <BR>Checking `gpm'... not found <BR>Checking `grep'... not infected <BR>Checking `hdparm'... not infected <BR>Checking `su'... not infected <BR>Checking `ifconfig'... INFECTED... <BR>
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar PengouinPdt » 22 Fév 2004 02:21

Bon, après examen de mes logs IPCop, j'ai souvent ce type d'attaque : <BR><!-- BBCode auto-link start --><a href="http://www.snort.org/snort-db/sid.html?sid=615" target="_blank">http://www.snort.org/snort-db/sid.html?sid=615</a><!-- BBCode auto-link end --> <BR> <BR>voire des scans de ports, de ce style : <BR>Nom: (spp_portscan2) Portscan detected from 193.252.114.12: 1 targets 21 ports in 20 seconds <BR>Nom: (spp_portscan2) Portscan detected from 195.140.140.28: 1 targets 21 ports in 3 seconds <BR> <BR>Et pour la première fois, je fais attention à ceci : <BR>Nom: (snort_decoder) WARNING: TCP Data Offset is less than 5! <BR>Nom: (snort_decoder): Truncated Tcp Options <BR> <BR>Le tout est de comprendre comment j'ai pu être infecté sachant que j'ai la 1.3.0patch7... <BR>Et, comment puis-je éviter d'être infecté à nouveau ? <BR>Mais, là, j'ai la rage... <BR> <BR>Ce qui m'a mis la puce à l'oreille ? <BR>J'ai un accès ADSL 512, et parfois, impossible d'accèder au web, ca tourne en boucle, dure quelque secondes, et je retrouve la "main"...
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar PengouinPdt » 22 Fév 2004 03:23

Non, mais je rêve... ma station Debian est infecté peut être aussi... <BR>Je viens d'y faire un apt-get install chkrootkit ; réponse : <BR> <BR>Checking `lkm'... You have 4 process hidden for ps command <BR>Warning: Possible LKM Trojan installed <BR> <BR>Que puis-je faire de plus, pour être sûr et certain ??? <BR>Avec quoi, je peux vérifier ?
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar Fesch » 22 Fév 2004 12:17

Je ne sais pas, mais ce qui serait gentil, c'est que si tu puisse nous mettre à disposition ton fichier compiler et un tout petit howto pour que nous aussi on puisse vérifier nos IpCOP ... <BR> <BR> <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif">
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar PengouinPdt » 22 Fév 2004 13:53

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-22 11:17, Fesch a écrit: <BR>Je ne sais pas, mais ce qui serait gentil, c'est que si tu puisse nous mettre à disposition ton fichier compiler et un tout petit howto pour que nous aussi on puisse vérifier nos IpCOP ... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je vais essayer de le faire sachant qu'apparement il manque une librairie à IPCop pour faire fonctionner certains tests de ce chkrootkit ... "copié-collé", comme suggéré ! <BR>Ce qui ne lui empêche pas de vérifier d'autres points et donc de témoigner de l'infection ou non !!! <BR>(Ce que je ne sais, c'est si le fait qu'il manque cette fameuse libraire, cela rend le test correct ou qu'il est faussé !) <BR> <BR>Bref... <BR> <BR>Hier soir, avant de vous quitter et déteindre mon IPCop, je me suis fais attaqué sérieux: <BR> <BR>Date: 02/22 02:13:55 Nom: ATTACK RESPONSES id check returned root <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 212.27.33.226:80 -> 81.185.222.44:34194 <BR>Références: aucune entrée trouvée SID: 498 <BR>Date: 02/22 02:29:22 Nom: ATTACK RESPONSES id check returned root <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 199.107.65.177:80 -> 81.185.222.44:34246 <BR>Références: aucune entrée trouvée SID: 498 <BR>Date: 02/22 02:29:22 Nom: ATTACK RESPONSES id check returned root <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 199.107.65.177:80 -> 81.185.222.44:34246 <BR>Références: aucune entrée trouvée SID: 498 <BR> <BR>Et selon, snort.org (si j'ai bien compris...) c'est vraiment mauvais signe : <BR><!-- BBCode auto-link start --><a href="http://www.snort.org/snort-db/sid.html?sid=498" target="_blank">http://www.snort.org/snort-db/sid.html?sid=498</a><!-- BBCode auto-link end --> <BR> <BR> Attack Scenarios <BR>A buffer overflow exploit against an FTP server results in "/bin/sh" being executed. An automated script performing an attack, checks for the success of the exploit via an "id" command. <BR> Ease of Attack Simple. <BR>This may be post-attack behavior and can be indicative of the successful exploitation of a vulnerable system. <BR> <BR>Par contre, là, je fais peut être une relation mal-à-propos, mais je suspecte certaines personnes lisant ici d'être malheureusement malhonnêtes, cette attaque arrivant fortuitement quelques minutes (pardon, quelques heures...) après la publication de mon infection <IMG SRC="images/smiles/icon_wink.gif">... Ce n'est peut être aussi qu'un concours de circonstances malheureux !!! Qui sait ??? <BR>Bref, il en est qu'en voyant ces dernières alertes, là, j'ai pris peur et je me suis immédiatement déconnecté du net ! Aujourd'hui mon IPCop est out !!! <BR> <BR>Ce qui me fait $%#&! (désolé d'être un peu grossier...), c'est qu'IPCop n'est pas tout le temps allumé, en moyenne 10 heures/jour quand je suis à la maison, sinon 3 à 4 heures... que j'ai beau m'en inquiéter, puisque technicien réseaux informatique (certes autodidacte... et je sais le temps moyen passé sur Internet n'a rien à voir en commune mesure avec les possibilités d'attaque...) et donc faire ce qu'il me semble nécessaire et important au niveau de l'aspect sécurité, les mises-à-jours, les modifications des .conf pour 'Bind'er ou "ListenAddress"er, installer certains patchs de sécurité kernel... (autant les serveurs, que les stations si possible.) maintenant, il est sûr que je manque de culture, mais je m'y essaye petit-à-petit à améliorer... la sécurité est quelque chose que je trouve passionant, mais je n'ai pas le cabarit de connaissances côté surveillance réseaux (faut dire que j'ai du mal à m'y mettre seul... mais heureusement que je m'y essaye !) Et, heureusement que je m'y intéresse !!! <BR> <BR>C'est pour cela que je ne jetterai pas la pierre sur IPCop ... y aurait-il possibilité que l'attaquant est utilisé une des failles du kernel, certes sur la 1.3.0patch7, c'est le 2.4.24, sachant que celui-ci à une faille similaire au version précédente, et qu'il a était recommandé de passer au 2.4.25... <BR>Après, je suis prêt à remettre à l'ensemble de l'équipe IPCop, (Gesp ?!) les logs ou autres fichiers qu'ils jugeraient nécessaires pour comprendre comment cela a-t-il était possible... parce que, bien que je sache lire, là moi je me sens hors-course à ce niveau; là, je n'ai pas les compétences... où, je ne me les sens pas !!! Quitte à leur envoyer le disque dur, pour qu'il le dissèque <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_frown.gif"> <BR>S'ils veulent me contacter : linux_A_stephane_TIRET_huc_POINT_net. Et de là, je leur donnerai toutes les coordonnées pour me contacter autrement ! <BR>Ma station IPCop reste à en attente, pour l'instant elle est déconnectée du réseau ... <BR> <BR>Bon, maintenant, je vais essayer de packager le chkrootkit "copié-collé" qui me semble être un point de départ, je le mettrais sur mon site <!-- BBCode auto-link start --><a href="http://www.stephane-huc.net/config/" target="_blank">www.stephane-huc.net/config/</a><!-- BBCode auto-link end --> avec un petit HowTo, bien que ce ne soit pas difficile à user... j'en suis étonné <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>A bientôt !
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar leso » 22 Fév 2004 13:58

juste comme ca des attaqesdans le ids j'en ai un nnombre incalculable par jour , je pense pas que ce soit ipcop qui soit movais mais plutot que pas mal de traffic soit inoffensif
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar PengouinPdt » 22 Fév 2004 14:13

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-22 12:58, leso a écrit: <BR>juste comme ca des attaqesdans le ids j'en ai un nnombre incalculable par jour , je pense pas que ce soit ipcop qui soit movais mais plutot que pas mal de traffic soit inoffensif <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Des attaques, en effet, y'en a plein... j'ai souvent des tentatives du ver Slayer (comme quoi, plus d'un server MSSQL n'est pas patché, plus d'un antivirus n'ont plus... ca craint sérieux ! et laisse pensif...) voire des tentatives pour savoir s'il y a un compte FTP... <BR>Bref, c'est petit, dans tous les sens du termes... <BR> <BR>Mais ce que je viens de publier, hier et aujourd'hui est loin d'être banal, bien au contraire et est vraiment le témoin d'une activité plus que suspecte... <BR> <BR>C'est pour cela que je publie, en espérant que cela remonte à l'équipe IPCop, (dont fait partie Gesp (si je ne me trompes pas...) ...) autant pour qu'ils s'en assurent, que pour le reste ! <BR>Mon crédo n'aie pas de faire peur à l'ensemble de la communauté, ce qui m'arrive en étant averti l'est forcément à d'autres qui ont la même motivation que moi, et/ou à ceux qui ne font qu'installer sans aucune vérification après !!! De toute façon, le danger est toujours potentiel, on aura du mal à ... mais au moins, si cela peut être une forme d'aide apportée, alors j'en serais heureux !!! <BR> <BR>
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar PengouinPdt » 22 Fév 2004 15:00

Bon, concernant les messages d'erreurs que me retrourné le fameux chkrootkit "copié-collé", en fait il cherche quatre éléments... <BR> <BR>1- /usr/bin/strings <BR>2- /usr/bin/rpcinfo <BR>3- /usr/lib/libbfd-2.12.90.0.1.so <BR>4- ceci : <BR>/usr/lib/perl5/5.6.1/i386-linux/.packlist /usr/lib/perl5/site_perl/5.6.1/i386-linux/auto/GD/.packlist /usr/lib/perl5/site_perl/5.6.1/i386-linux/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.6.1/i386-linux/auto/Net/IPv4Addr/.packlist <BR>que je ne trouve pas non plus sur le server Debian stable d'où j'ai "copié-collé" le chkrootkit... mais quand j'y fait un test chkrootkit, il ne s'en plaint pas !!! <BR>(que pensez de cela ...) <BR> <BR>Donc, je me suis permis de copier les 2 binaires manquants ainsi que la librairie partagée manquante sur IPCop ... je fais un nouveau test chkrootkit, et là 'ifconfig' n'apparait plus INFECTED... que dois-je en conclure ??? <BR>(j'aime pas ca, mais j'aime pas ca...) <BR>En attendant vos remarques ou celles de l'équipe IPCop, je vais poser certaines questions aux développeurs de chkrootkit ! <BR>
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron