[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

faux root.... (-long)


From christophe Josselin <cjossel1 at club-internet dot fr>
Subject faux root.... (-long)
Date Fri, 12 Jul 2002 18:05:26 +0200

Encore une conséquence des fisrtJeudi
En discutant avec Christophe et Nono, j'ai évoqué la possibilité de créer 
un faux root pour amuser les pirate, idée qui avait été évoquée sur la 
liste Mandrake il y a presque 2 ans. En voici les messages :


Hmmm, la march à suivre exacte,
ça se fait comment (en détail)?
Eric

Armingaud at fr dot ibm dot com wrote:
>?
>?Deux solutions amusantes, mais mutuellement exclusives :
>?
>?1) mettre root en "no login" : impossible pour qui que ce soit
>?de se logger directement sur root, il faudra d'abord pirater
>?un user et faire "su" depuis cet user. Ca double la difficulté.
>?
>?2) Associer root à un user nnnn qui lui-même a comme
>?shell déclaré dans /etc/passwd... /bin/false! Pendant ce
>?temps, le vrai user 0 de la machine ne s'appelle pas root,
>?mais par exemple Tart3mp10n.
>?
>?On peut raffiner en écrivant carrément un faux shell, pour le
>?faux root; un qui ressemble au vrai sauf que le hacker est
>?enfermé dans un environnement virtuel bidon, qui attend
>?toujours au moins 5 secondes avant de répondre à chacune
>?de ses commandes. Ca use remarquablement bien leurs nerfs.
>?
>?Je faisais répondre au mien une fois sur deux, après attente
>?de 10 secondes : "Process table full. Unable to fork". J'ai
>?trouvé un jour la trace d'un hacker qui a insisté à la porte
>?quatre heures d'affilée avant de baisser les bras au petit
>?matin. Tant qu'on les occupe comme ça, ils ne font pas
>?trop de bêtises :-)

///////////////////////////////////////////////////////////////

>>?ça se fait comment (en détail)? <<


Armingaud at fr dot ibm dot com wrote:

>?1) mettre root en "no login"

Il y a un des champs (entre deux ":") de chaque ligne
de /etc/passwd indiquant si un utilisateur a le droit
de se logger ou non. Je ne sais plus lequel, mais ça
doit pouvoir se retrouver assez vite en regardant ce fichier.

>?2) Associer root à un user nnnn qui lui-même a comme
>?shell déclaré dans /etc/passwd... /bin/false! Pendant ce
>?temps, le vrai user 0 de la machine ne s'appelle pas root,
>?mais par exemple Tart3mp10n.

Le nom du shell associé à un utilisateur doit être le dernier
ou l'avant-dernier champ. Là où il y a /bin/bash en général.

>?On peut raffiner en écrivant carrément un faux shell, pour le
>?faux root; un qui ressemble au vrai sauf que le hacker est
>?enfermé dans un environnement virtuel bidon, qui attend
>?toujours au moins 5 secondes avant de répondre à chacune
>?de ses commandes. Ca use remarquablement bien leurs nerfs.

Voici déjà un "shell" simple à associer à guest [guest].

#! /bin/ksh
trap 1 2 3
echo "$(date) Somebody tried to enter as guest" >> /var/guest

Et voici quelque chose de plus sophistiqué :

#! /bin/ksh
trap 1 2 3
echo "$(date) Hacker enters" >> /var/guest

until [ 1 = 2 ]
do
sleep 2 # Good system administrators play with hackers nerves
read -r xxx?"$ " yyy

if [ .$xxx = ?.? ]
then
continue
fi

sleep 2 # Good system administrators play with hacker nerves

which $xxx 1>/dev/null 2>&1 # Is this an existing command ?
if [ $? = 0 ] # If yes, we are too busy to execute it
then
echo "Too many processes. Please try again later."
else # but let the hacker think this is a real shell :-)
echo "Unknown command"
fi

done

Et maintenant, laissez-les venir. Et amusez-vous bien :-)

//////////////////////////////////////////////////////////////////////////


Armingaud at fr dot ibm dot com a écrit :

>?> 1) mettre root en "no login"
>?
>?Il y a un des champs (entre deux ":") de chaque ligne
>?de /etc/passwd indiquant si un utilisateur a le droit
>?de se logger ou non. Je ne sais plus lequel, mais ça
>?doit pouvoir se retrouver assez vite en regardant ce fichier.

Tu peux precise, parce que ca m'interresse aussi, et je n'ai pas trouve.

Voila la ligne pour root, et la ligne pour un utilisateur normal.
L'utilisateur normal peut se rloger, pas root :

root:x:0:0:root:/root:/bin/bash 
smac:x:501:503:Marc AUBERT:/home/smac:/bin/bash 

Merci

@+


///////////////////


Extrait de la sortie de "man 5 passwd"

Si le mot de passe crypté est rempli avec ?un ?astérisque,
l'utilisateur ?ne ?pourra ?pas se connecter avec login(1),

Bon colmatage !
Amicalement ?:-)


//////////////////


>?Armingaud at fr dot ibm dot com a écrit :
>?
>?> > 1) mettre root en "no login"
>?> 
>?> Il y a un des champs (entre deux ":") de chaque ligne
>?> de /etc/passwd indiquant si un utilisateur a le droit
>?> de se logger ou non. Je ne sais plus lequel, mais ça
>?> doit pouvoir se retrouver assez vite en regardant ce fichier.
>?
>?Tu peux precise, parce que ca m'interresse aussi, et je n'ai pas trouve.
>?
>?Voila la ligne pour root, et la ligne pour un utilisateur normal.
>?L'utilisateur normal peut se rloger, pas root :
>?
>?root:x:0:0:root:/root:/bin/bash 
>?smac:x:501:503:Marc AUBERT:/home/smac:/bin/bash 
>?
>?Merci
>?
>? at +
>?
Pour bloquer un compte editer le fichier shadow (et non pas passwd), vous 
allez
voir:

compte:mot_de_passe_crypté:num:num:::::

Remplacé le mot de passe crypté par * (etoile) bloque le compte.

Si vous n'avez pas de fichier /etc/shadow cette fois ci c'est dans 
/etc/passwd,

compte:mot_de_passe_crypté:blablabl....

changé par
compte:*
bloque le compte aussi

Plus d'info: 
www.lea-linux.org , rub Administration, sécurité

////////////////////////////////////////////////////////////////


Merci de l'avoir jusqu'ici
A+

-- 
La theorie, c'est quand on comprend tout mais que rien ne marche.
La pratique, c'est quand ca marche sans qu'on ne sache pourquoi.
Les ingenieurs rassemblent les deux:
     rien ne marche et ils ne savent pas pourquoi.       ULg
Christophe Josselin