[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une moins bonne nouvelle


From Frederic Lehobey <Frederic dot Lehobey at free dot fr>
Subject Re: [gulliver] Une moins bonne nouvelle
Date Mon, 20 Mar 2006 16:29:13 +0100

Salut,

On Mon, Mar 20, 2006 at 03:25:25PM +0100, Yaël Chéenne wrote:

> A mon avis, vous prenez le problème à l'envers:

  Merci, Yaël, de ton avis.

  Je commence à douter que la machine ait été jamais infectée.
Explication: David (et moi) observons les mêmes symptômes (ports
ouverts de façon mystérieuse) sur la machine qui remplace celle qui
aurait été piratée. Je me pose beaucoup de questions. Vous pouvez
tester vous-mêmes, son adresse IP est ci-dessous. Deux symptômes
suspects passés (et non reproductibles) sont :

  - perte de ssh une fois jeudi après-midi par moi, à la suite de gels
des connexions en faisant des tests sur rsync en IPv4 aussi bien que
IPv6 ;

  - la machine ne s'éteignait plus en appuyant sur le bouton (ce qui
laisse imaginer un problème de module ou de démontage de partition). 2
fois.

  Tous ces symptômes ont disparu quand rallumée hors connexion IP.

> La machine "infectée" :
> 
> Connectée à Internet ? Oui / Non

  Oui.

> Comment ? Firewall / Proxy

  ADSL / Firewall de ma pomme (iptables) en IPv6 (presque tout
fermé). ipmasq en IPv4 (qui n'est pas un vrai coupe-feu : en gros tout
ouvert en sortie).

> Où ? Accès direct IP / FAI / DynDNS

  81.56.210.7 / Free / lehobey-roncey.dyndns.org

> Quel niveau de firewall (SPI / N3 ou N4 OSI / N7 (ce qui m'étonnerait fort)
> ?

  Rien d'autre que ce que j'ai dit. Il n'y avait pas de données
critiques. Juste un usage personnel : servir de routeur IPv6 pour le
protocole 6to4. Elle servait aussi de serveur de sauvegarde de 3
machines dont elle-même (idiot de cumuler tant de services sur une
machine accessible d'Internet, mais elle n'avait qu'un usage
non-professionnel et j'étais persuadé qu'une Debian sarge sur sparc me
mettait à l'abri de pas mal de problèmes).

> Qu'y a-t-il dans les logs des protections ?

  Rien. Nada. Je n'ai passé que quelques heures dessus. À reprendre et
continuer de façon systématique.

> De toute façon, ce n'est pas l'architecture  qu'il(s) convoitaient, un
> UltraSparc 64
> n'a rien d'extraordinaire et s'attendai(ent)-ils peut-être à trouver autre
> chose qu'un Linux ? (SunOS / Solaris)
> 
> Qui te dit que la machine a été infectée ? Ce n'est pas parce qu'un petit
> malin est rentré dans un système que ce dernier
> est infecté. Il est rentré par une porte qui a peu résisté et même si ta
> Debian est à jour (noyau, proto, accès divers et variés),

  Cette intrusion, ou sa trace, reste à trouver.

> ce n'est pas cela qui l'empêchera de passer. Il a pris quelque chose ?

  Rien à ma connaissance. Mais s'il a eu l'accès root, il pouvait tout
prendre...

> Autre chose, il a très bien pu s'introduire par une faille ou un exploit
> récemment découvert, alors que ta Debian n'était pas à jour, un

  La Debian était à jour et l'a toujours été.

> zombie a très bien pu s'installer sans que tu ne voies quoique ce soit, avec
> ou sans rootkit.

  Comment ?

> De plus, si il est un peu malin, il n'aura pas laissé de trace dans /var/*.
> A ta place, je regarderai plutôt du côté des piles IP,
> et ce de bout en bout, depuis internet jusqu'à la machine, quitte à faire de
> la reconstruction de trame en C, czr c'est à partir du dump
> IP que tu vas pouvoir débusquer un bout de piste.

  Heu... la machine est en morceaux et j'ai ses deux disques (sur
lesquels tout *a l'air* normal). J'ai du mal à avaler l'hypothèse du
pirate de grande classe qui est rentré sur une sparc64 simplement
parce qu'elle fonctionnait 24h/24h. En plus l'upload du lien était
médiocre (ADSL 512).

> Ce que j'en dis ...

  Merci !

Dubitativement,
Frédéric

Attachment: signature.asc
Description: Digital signature