chkrootkit : intall ???

par **PengouinPdt** » 21 Fév 2004 13:18

elo, all... POur mes servers, j'utilise un outil de vérification qui s'appelle 'chkrootkit'... j'aimerais tester mon fw IPCop avec... où me conseillez-vous de l'installer ? sans que cela casse IPCop !?!

par **Gesp** » 21 Fév 2004 14:05

dans tmp, tu crées un sous-répertoire.

par **PengouinPdt** » 21 Fév 2004 18:18

Gesp, merci à toi, je savais que tu pouvais me répondre ; mais, j'ai pas osé te le demander directement ... lol <IMG SRC="images/smiles/icon_wink.gif">

par **PengouinPdt** » 21 Fév 2004 18:29

Snifff, j'ai bien pu décompresser l'archive... mais comme il faut faire un "make sense" avant d'user de l'outil, je ne peux rien faire : bash: make: command not found <= tel est le verdict !!!

par **Fesch** » 21 Fév 2004 19:51

Il faut compiler sur un autre Linux ... puis copier sur IpCOP. Attention, il faut que l'autre IpCOP soit compatible, c'est à dire un noyau et une version de GLibC compatible ... la Debian Woody par exemple et bonne, la Knoppix 3.3 est trop récente et ne fonctionne pas ...

par **PengouinPdt** » 22 Fév 2004 01:24

Arfff, toujours cette fameuse compatibilité Debian GNU/Linux, je mettais déjà amusé à installer sur un HD sur un second ordi... mais je n'aurais pas pensé à faire ainsi pour un soft <IMG SRC="images/smiles/icon_wink.gif"> !!! Ca tombe franchement bien, je sais où trouver un server 'Debian GNU/Linux stable'... <IMG SRC="images/smiles/icon_wink.gif">

par **PengouinPdt** » 22 Fév 2004 01:53

Le verdict est là !!! ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... INFECTED...

par **PengouinPdt** » 22 Fév 2004 02:21

Bon, après examen de mes logs IPCop, j'ai souvent ce type d'attaque : <a href="http://www.snort.org/snort-db/sid.html?sid=615" target="_blank">http://www.snort.org/snort-db/sid.html?sid=615</a> voire des scans de ports, de ce style : Nom: (spp_portscan2) Portscan detected from 193.252.114.12: 1 targets 21 ports in 20 seconds Nom: (spp_portscan2) Portscan detected from 195.140.140.28: 1 targets 21 ports in 3 seconds Et pour la première fois, je fais attention à ceci : Nom: (snort_decoder) WARNING: TCP Data Offset is less than 5! Nom: (snort_decoder): Truncated Tcp Options Le tout est de comprendre comment j'ai pu être infecté sachant que j'ai la 1.3.0patch7... Et, comment puis-je éviter d'être infecté à nouveau ? Mais, là, j'ai la rage... Ce qui m'a mis la puce à l'oreille ? J'ai un accès ADSL 512, et parfois, impossible d'accèder au web, ca tourne en boucle, dure quelque secondes, et je retrouve la "main"...

par **PengouinPdt** » 22 Fév 2004 03:23

Non, mais je rêve... ma station Debian est infecté peut être aussi... Je viens d'y faire un apt-get install chkrootkit ; réponse : Checking `lkm'... You have 4 process hidden for ps command Warning: Possible LKM Trojan installed Que puis-je faire de plus, pour être sûr et certain ??? Avec quoi, je peux vérifier ?

par **Fesch** » 22 Fév 2004 12:17

Je ne sais pas, mais ce qui serait gentil, c'est que si tu puisse nous mettre à disposition ton fichier compiler et un tout petit howto pour que nous aussi on puisse vérifier nos IpCOP ... <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif">

par **PengouinPdt** » 22 Fév 2004 13:53

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-02-22 11:17, Fesch a écrit: Je ne sais pas, mais ce qui serait gentil, c'est que si tu puisse nous mettre à disposition ton fichier compiler et un tout petit howto pour que nous aussi on puisse vérifier nos IpCOP ... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je vais essayer de le faire sachant qu'apparement il manque une librairie à IPCop pour faire fonctionner certains tests de ce chkrootkit ... "copié-collé", comme suggéré ! Ce qui ne lui empêche pas de vérifier d'autres points et donc de témoigner de l'infection ou non !!! (Ce que je ne sais, c'est si le fait qu'il manque cette fameuse libraire, cela rend le test correct ou qu'il est faussé !) Bref... Hier soir, avant de vous quitter et déteindre mon IPCop, je me suis fais attaqué sérieux: Date: 02/22 02:13:55 Nom: ATTACK RESPONSES id check returned root Priorité: 2 Type: Potentially Bad Traffic Informations sur l'adresse IP: 212.27.33.226:80 -> 81.185.222.44:34194 Références: aucune entrée trouvée SID: 498 Date: 02/22 02:29:22 Nom: ATTACK RESPONSES id check returned root Priorité: 2 Type: Potentially Bad Traffic Informations sur l'adresse IP: 199.107.65.177:80 -> 81.185.222.44:34246 Références: aucune entrée trouvée SID: 498 Date: 02/22 02:29:22 Nom: ATTACK RESPONSES id check returned root Priorité: 2 Type: Potentially Bad Traffic Informations sur l'adresse IP: 199.107.65.177:80 -> 81.185.222.44:34246 Références: aucune entrée trouvée SID: 498 Et selon, snort.org (si j'ai bien compris...) c'est vraiment mauvais signe : <a href="http://www.snort.org/snort-db/sid.html?sid=498" target="_blank">http://www.snort.org/snort-db/sid.html?sid=498</a> Attack Scenarios A buffer overflow exploit against an FTP server results in "/bin/sh" being executed. An automated script performing an attack, checks for the success of the exploit via an "id" command. Ease of Attack Simple. This may be post-attack behavior and can be indicative of the successful exploitation of a vulnerable system. Par contre, là, je fais peut être une relation mal-à-propos, mais je suspecte certaines personnes lisant ici d'être malheureusement malhonnêtes, cette attaque arrivant fortuitement quelques minutes (pardon, quelques heures...) après la publication de mon infection <IMG SRC="images/smiles/icon_wink.gif">... Ce n'est peut être aussi qu'un concours de circonstances malheureux !!! Qui sait ??? Bref, il en est qu'en voyant ces dernières alertes, là, j'ai pris peur et je me suis immédiatement déconnecté du net ! Aujourd'hui mon IPCop est out !!! Ce qui me fait $%#&! (désolé d'être un peu grossier...), c'est qu'IPCop n'est pas tout le temps allumé, en moyenne 10 heures/jour quand je suis à la maison, sinon 3 à 4 heures... que j'ai beau m'en inquiéter, puisque technicien réseaux informatique (certes autodidacte... et je sais le temps moyen passé sur Internet n'a rien à voir en commune mesure avec les possibilités d'attaque...) et donc faire ce qu'il me semble nécessaire et important au niveau de l'aspect sécurité, les mises-à-jours, les modifications des .conf pour 'Bind'er ou "ListenAddress"er, installer certains patchs de sécurité kernel... (autant les serveurs, que les stations si possible.) maintenant, il est sûr que je manque de culture, mais je m'y essaye petit-à-petit à améliorer... la sécurité est quelque chose que je trouve passionant, mais je n'ai pas le cabarit de connaissances côté surveillance réseaux (faut dire que j'ai du mal à m'y mettre seul... mais heureusement que je m'y essaye !) Et, heureusement que je m'y intéresse !!! C'est pour cela que je ne jetterai pas la pierre sur IPCop ... y aurait-il possibilité que l'attaquant est utilisé une des failles du kernel, certes sur la 1.3.0patch7, c'est le 2.4.24, sachant que celui-ci à une faille similaire au version précédente, et qu'il a était recommandé de passer au 2.4.25... Après, je suis prêt à remettre à l'ensemble de l'équipe IPCop, (Gesp ?!) les logs ou autres fichiers qu'ils jugeraient nécessaires pour comprendre comment cela a-t-il était possible... parce que, bien que je sache lire, là moi je me sens hors-course à ce niveau; là, je n'ai pas les compétences... où, je ne me les sens pas !!! Quitte à leur envoyer le disque dur, pour qu'il le dissèque <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_frown.gif"> S'ils veulent me contacter : linux_A_stephane_TIRET_huc_POINT_net. Et de là, je leur donnerai toutes les coordonnées pour me contacter autrement ! Ma station IPCop reste à en attente, pour l'instant elle est déconnectée du réseau ... Bon, maintenant, je vais essayer de packager le chkrootkit "copié-collé" qui me semble être un point de départ, je le mettrais sur mon site <a href="http://www.stephane-huc.net/config/" target="_blank">www.stephane-huc.net/config/</a> avec un petit HowTo, bien que ce ne soit pas difficile à user... j'en suis étonné <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_smile.gif"> A bientôt !

par **leso** » 22 Fév 2004 13:58

juste comme ca des attaqesdans le ids j'en ai un nnombre incalculable par jour , je pense pas que ce soit ipcop qui soit movais mais plutot que pas mal de traffic soit inoffensif

par **PengouinPdt** » 22 Fév 2004 14:13

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-02-22 12:58, leso a écrit: juste comme ca des attaqesdans le ids j'en ai un nnombre incalculable par jour , je pense pas que ce soit ipcop qui soit movais mais plutot que pas mal de traffic soit inoffensif </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Des attaques, en effet, y'en a plein... j'ai souvent des tentatives du ver Slayer (comme quoi, plus d'un server MSSQL n'est pas patché, plus d'un antivirus n'ont plus... ca craint sérieux ! et laisse pensif...) voire des tentatives pour savoir s'il y a un compte FTP... Bref, c'est petit, dans tous les sens du termes... Mais ce que je viens de publier, hier et aujourd'hui est loin d'être banal, bien au contraire et est vraiment le témoin d'une activité plus que suspecte... C'est pour cela que je publie, en espérant que cela remonte à l'équipe IPCop, (dont fait partie Gesp (si je ne me trompes pas...) ...) autant pour qu'ils s'en assurent, que pour le reste ! Mon crédo n'aie pas de faire peur à l'ensemble de la communauté, ce qui m'arrive en étant averti l'est forcément à d'autres qui ont la même motivation que moi, et/ou à ceux qui ne font qu'installer sans aucune vérification après !!! De toute façon, le danger est toujours potentiel, on aura du mal à ... mais au moins, si cela peut être une forme d'aide apportée, alors j'en serais heureux !!!

par **PengouinPdt** » 22 Fév 2004 15:00

Bon, concernant les messages d'erreurs que me retrourné le fameux chkrootkit "copié-collé", en fait il cherche quatre éléments... 1- /usr/bin/strings 2- /usr/bin/rpcinfo 3- /usr/lib/libbfd-2.12.90.0.1.so 4- ceci : /usr/lib/perl5/5.6.1/i386-linux/.packlist /usr/lib/perl5/site_perl/5.6.1/i386-linux/auto/GD/.packlist /usr/lib/perl5/site_perl/5.6.1/i386-linux/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.6.1/i386-linux/auto/Net/IPv4Addr/.packlist que je ne trouve pas non plus sur le server Debian stable d'où j'ai "copié-collé" le chkrootkit... mais quand j'y fait un test chkrootkit, il ne s'en plaint pas !!! (que pensez de cela ...) Donc, je me suis permis de copier les 2 binaires manquants ainsi que la librairie partagée manquante sur IPCop ... je fais un nouveau test chkrootkit, et là 'ifconfig' n'apparait plus INFECTED... que dois-je en conclure ??? (j'aime pas ca, mais j'aime pas ca...) En attendant vos remarques ou celles de l'équipe IPCop, je vais poser certaines questions aux développeurs de chkrootkit !

chkrootkit : intall ???

Qui est en ligne ?