[redhat] & hack compromission

& hack compromission [redhat] - Linux et OS Alternatifs

Marsh Posté le 27-09-2005 à 10:25:50    

qui a des bons reflexes à adopter quand on
observe une compromission de la machine.
genre back door xntps ou adore :sweat:  
 
bref, ça serais bien de se communiquer nos astuces
de root-webm@ster.
 
1) toujours tenir ses rpm a jour des failles (ça c'est sur). :sweat:  
2) utiliser webmin pour l'administration, c'est bien car on voit beaucoup
de chose assez facilement.
3) faire des sauvegardes regulières
 
mais une fois que c'est arrivé, que faites vous en général??
ou chercher??
 
- pour commencer, j'ai regardé les fichiers dans /rc.d/init.d
et j'ai noté des lignes "louches" dans 2 scripts (atd & network)
- regarder dans /temp et remarquer des dossiers . cachés avec
aussi des tar.gz dedans.
- je pense que mon "#ps" ne me dit pas tout
 
d'autres idées??? pour réparer par exemple en evitant la réinstall + MAJ
de tous les rpm.


Message édité par memaster le 27-09-2005 à 10:26:20
Reply

Marsh Posté le 27-09-2005 à 10:25:50   

Reply

Marsh Posté le 27-09-2005 à 10:42:45    

des pistes :
AIDE, chkrootkit, binaires statiques pour l'analyse, tripwire


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 27-09-2005 à 11:15:18    

boff si la machine a été compromise le mieux c'est de voir comment elle l'a été et de tout réinstaller avec un formatage total de tout le systeme :o

Reply

Marsh Posté le 27-09-2005 à 11:45:58    

voir oui mais comment?? car si je ne m'abuse toutes les commandes
(ls, ps, netstat, ifconfig :pt1cable: ...) ont été remplacées par des fausses.
 
avez vous des astuces??
 
sachant que sur mes configs, j'ai deja tripwire, portsentry et j'en passe.

Reply

Marsh Posté le 27-09-2005 à 11:54:04    

l0ky a écrit :

boff si la machine a été compromise le mieux c'est de voir comment elle l'a été et de tout réinstaller avec un formatage total de tout le systeme :o


je plussoie [:dao]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 27-09-2005 à 12:07:50    

oui mais avant de réinstaller, comment voir quel service a été "exploit"??
histoire qu'au moment de la réinstalle je recommence pas la même c@&# et upgrade
le bon rpm ou mette en place une parade.

Reply

Marsh Posté le 27-09-2005 à 19:50:03    

Tu met le disque dans une autre machine, y a aucune autre moyen d'etre sur a 100%.

Reply

Marsh Posté le 27-09-2005 à 20:30:21    

memaster a écrit :

voir oui mais comment?? car si je ne m'abuse toutes les commandes
(ls, ps, netstat, ifconfig :pt1cable: ...) ont été remplacées par des fausses.
 
avez vous des astuces??
 
sachant que sur mes configs, j'ai deja tripwire, portsentry et j'en passe.


Faire des hash md5 de tous ces programmes sains et imprimer cette liste sur du papier (et oui comme ça le pirate ne pourra pas modifier les hash  :D  )
PS: je laisse de côté les problèmes de collision avec MD5...


Message édité par jlighty le 27-09-2005 à 20:30:53
Reply

Marsh Posté le 28-09-2005 à 10:14:38    

j'ai du mal a vous comprendre??
ce que je veux comprendre c'est quel exploit a utilisé
le hacker, ainsi avant de réinstaller le tout. je sais quoi mettre à jour
concernant cette faille afin que cela ne se reproduise plus. rien de plus.
et ça je ne sais pas comment le detecter. cette machine
fait tourner apache, ftp, sendmail, pop3... derriere un firewall assez restrictif.

Reply

Marsh Posté le 28-09-2005 à 10:18:31    

Tes applications étaient à jours ? apache et son contenu PHP ?

Reply

Marsh Posté le 28-09-2005 à 10:18:31   

Reply

Marsh Posté le 28-09-2005 à 10:20:48    

Il n'y a pas de solution miracle.
A part faire des recherches dans les logs de la machine compromise, de rechercher les programmes altérer, de suivre les failles connues et les exploits possibles avec les services présents sur la machine...
 
Si tu fais des recherches avec google regarde tout ce qui a trait à "forensics" dans l'informatique.

Reply

Marsh Posté le 28-09-2005 à 10:46:03    

ok merci.
et j'espere bien etre assez  jour en faisant cela regulierement
1x a 2x par mois. mais c'est long de faire ça ==> argent

Reply

Marsh Posté le 28-09-2005 à 10:47:58    

Si tes commandes de bases sont pourries, jette un coup d'oeil du côté de BusyBox qui te permettra de retrouver rapidement tout ensemble de commandes saines pour voir ce qui cloche.

Reply

Marsh Posté le 28-09-2005 à 10:48:20    

a toi de voir si tu préfères perdre un peu de temps (argent) plusieurs fois par mois a mettre à jour ton système ou si tu veux perdre beaucoup de (temps d'argent) à remonter une plate-forme de 0 une fois que l'autre est compromise [:spamafote]


Message édité par l0ky le 28-09-2005 à 10:48:41
Reply

Marsh Posté le 28-09-2005 à 10:58:23    

oui, mais bon, pas toujours facile. si l'une de mes machines est compromise
rien ne me dit que les autres n'ont pas la même faille. heureusement, que je
ne fait pas tout tourner avec la même distrib. ou kernel.
mais cela multiplie le temps de recherche et des MAJ :pt1cable:  
dur la vie parfois.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed