desinstaller SuckIt

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar docsha » 11 Fév 2004 13:16

Bonjour tout le monde <BR> <BR>J'ai un serveur qui tourne sous redhat7 . Sur ce dernier je me suis rendu compte que quelqu'un s'etait connecte dessus et y avait installé : <BR>voial ce que j'ai pu trouver : <BR> <BR>The system is going down for reboot NOW !! <BR>[===== SucKIT version 1.3a, Apr 22 2003 <http://sd.g-art.nl/sk> =====] <BR>[====== (c)oded by sd <sd@cdi.cz> & devik <devik@cdi.cz>, 2002 ======] <BR> <BR>$%#&!: Got signal 11 while manipulating kerne <BR> <BR>Ma question est donc comment me debarrasser de ce rootkit (je crois que s'en est un) ? Existe il des outils ou devrai je recompiler le noyau ? <BR> <BR>En esperant que quelqu'un veuille bien m'expliquer comment la personne a fait (même theoriquement) et comment le desinstaller je vous souhaite tous une agreable journée. <BR> <BR>ciao
Avatar de l’utilisateur
docsha
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Fév 2004 01:00

Messagepar JaDiuM » 11 Fév 2004 14:07

bonjour docha, <BR> <BR>effectivement un beau rootkit, cepandant le vilain n'a pas réussit à l'intaller (pb de compilation kernel <IMG SRC="images/smiles/icon_smile.gif"> ). <BR> <BR>Ceci dit si il s'agit d'un machine de production, il est fortement conseillé de formater !! et de tout reprendre. Car la il a tenté ce rootkit, mais en a certainement placé d'autre !. <BR> <BR>Fort à parier qu'il à remplacé les commandes les plus courantes type rm ln ls etc... <BR> <BR>Mais avant de relancer une nouvelle install (car la il est corrompu " acces root"), il serait bon d'effectuer un autopsie, pour connaitre son mode operatoire. <BR> <BR>dans tout les cas il a certainement utilisé des failles de type nremap ou sur des services de type ftp (proftpd, wuftpd etc), apache ou autre. <BR> <BR>Quoi qu'il en soit sur ta nouvelle config je te recommande vivement l'usage de soft de type chkrootkit, tripwire, mettre en place d'environement chroot pour les services proposé, déportation des logs, cryptage, ids, patchs appli et kernel etc. <BR> <BR> <BR>Enfin la liste est longue. <BR> <BR>Désolé pour ta mésaventure. <BR> <BR>_________________ <BR>---------------------------------- <BR>"Computers are like air conditionners. They stop working properly when you open Windows" <BR>----------------------------------<BR><BR><font size=-2></font>
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar docsha » 11 Fév 2004 15:33

Bonjour JaDiuM <BR> <BR>tout d'abord je tiens a te remercier pour ton aide et pour la rapidite avec laquelle tu m'as repondu (chapeau <IMG SRC="images/smiles/icon_smile.gif"> ) . <BR>J'ai cependant encore quelques questions (si t'as un peu de temps bien sur) <BR> <BR>Pour installer son rootkit le hacker a du (apparament) modifier le prog 'init' et l'a remplacer par init.ciuciu (verolé). Le problem c'est que lorsque nous nous sommes rendu compte de cela nous avons reboote la machine <IMG SRC="images/smiles/icon_frown.gif"> . du coup je pense que c'est init.ciuciu qui est actif . Le system semble quand meme fonctionner si ce n'est qu'il ne s'arrete plus ( et ce n'est peut etre que la partie visble de l'iceberg). <BR> <BR>Comment faire ( sans formater c'est la difficulté) pour remettre le fichier 'init' d'une autre machine a la place de ( un ami l'a deja fait ,cela semble fonctionner mais j'avoue que je me demande comment il a fait pour modifier un prog actif , peut etre en montant la partion ??) init.ciuciu ? <BR> <BR>tu as ecris : <BR> "Fort à parier qu'il à remplacé les commandes les plus courantes type rm ln ls etc... " <BR>et <BR> " cepandant le vilain n'a pas réussit à l'intaller (pb de compilation kernel <IMG SRC="images/smiles/icon_smile.gif"> ). " <BR> <BR>-Comment le hacker a t il pu faire cela sachant que le rootkit n'a pas pu s'installer ( as tu deduis que l'installation avait planté a cause du msg : <BR> "$%#&!: Got signal 11 while manipulating kerne " ) <BR> <BR> <BR>-Ou puis je trouver de la doc la dessus qui ne me demande pas (si ca existe <IMG SRC="images/smiles/icon_smile.gif"> ) 2 semaines pour comprendre. (j'ai de bonnes bases en prog mais pour ce qui est de l'administration ... ) <BR> <BR>Bon je me doute que tu as pleins de chose a faire ... mais si t'as un petit moment , tu feras un heureux ( quoique tu m'as deja bien mis sur la voie) <BR> <BR>Cordialement <BR>
Avatar de l’utilisateur
docsha
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Fév 2004 01:00

Messagepar JaDiuM » 11 Fév 2004 15:52

Re bonjour, <BR> <BR>Concernant ton problème, il n'est plus question de remonter le système tel qu'il est (j'espère que tu as des backup), les finesses sont tellements grandes, que même experiementé tu n'y verrai rien (pid et process masqué, detournement de regle firewall, redirection de flux keylog snif etc...) <BR> <BR>Pour le message effectivement, ça sous entend un echec, mais independament du rootkit la personne a eu acces à un shell root (ou user puis root) donc tes passwords sont compromis et plus certainement plus encore (encore une fois je sous entends que ce cybervioleur savait ce qu'il fesait). <BR> <BR>S'agit t-il d'un acces interne? ou externe ? <BR> <BR>
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar docsha » 11 Fév 2004 16:21

<BR>Re Bonjour <BR> <BR>Le pc est un petit serveur de bases de données ( gestion commerciale interne). <BR>A la base il y avait effectivement des acces interne et externe. Mais depuis que l'on s'est rendu compte du problem nous avons bloque toutes les connexions sauf celle de la VPN. du coup nous pensons ( a tort ?) qu'il n'y a plus de risque de connexion depuis l'exterieur vers le pc. <BR> <BR>Faut il donc imperativement formater ? je sais que tu me l'as deja precisé mais j'ai un superieur qui n'aime pas du tout le mot formater ... <BR> <BR>merci beaucoup <BR> <BR>JS
Avatar de l’utilisateur
docsha
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Fév 2004 01:00

Messagepar JaDiuM » 11 Fév 2004 16:31

En premier lieu vérifier si il n'y pas eu de fuite de ta database ! (le plus important). <BR> <BR>En second lieu Formater est le plus sage ! en plus de renouveler les certificats de ton VPN ! <BR> <BR>
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar docsha » 11 Fév 2004 16:53

merci et a charge de revanche ( en admettant que je puisse t aider <IMG SRC="images/smiles/icon_smile.gif">) ) <BR> <BR>ciao <BR>
Avatar de l’utilisateur
docsha
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Fév 2004 01:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité