[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [gulliver] Une moins bonne nouvelle


From Yaël Chéenne <yael dot cheenne at wanadoo dot fr>
Subject RE: [gulliver] Une moins bonne nouvelle
Date Mon, 20 Mar 2006 17:43:08 +0100

Bonjour Frédéric,

Il n'y a pas besoin d'être un "pirate" de grande classe pour un si petit
scénario.
Je parlerai plutôt d'un genre "pignouf" qui a réussi à "entrer" sur une
machine connectée en IP fixe.
Une machine en 24/24 est toujours plus intéressante qu'une connexion
aléatoire.

Si la connexion vers internet était en IPv6, c'est peut-être cela qui l'a
intéressé, d'ailleurs, cela 
fait déjà plusieurs fois que mon radar intercepte des tentatives de
connexion en IPv6. Comme c'est un
nouveau protocole ... enfin pas si neuf que cela ..

Avais-tu une sécurité supplémentaire avec SSH (genre SSL ou IPSec) ?

Tu dis qu'il n' a rien pris, donc cela conforte mon idée qu'il est venu en
simple visiteur, il a trouvé une
backdoor (peut-être en utilisant des ports virtuels ou un type buffer
overflow, certains ne laissent aucune 
trace), il faudrait bien regarder les dumps IP, les services qui étaient en
cours sur la machine, il y a certainement
un service ou un module qui possèdent les informations.

It's a joke for a debian man: mets pour la prochaine fois un OpenBSD ;-)))
Bonne journée
Y.CHEENNE


-----Message d'origine-----
De: Frederic Lehobey [mailto:Frederic dot Lehobey at free dot fr]
Envoyé: lundi 20 mars 2006 16:29
À: gulliver at listes dot gulliver dot eu dot org
Objet: Re: [gulliver] Une moins bonne nouvelle


Salut,

On Mon, Mar 20, 2006 at 03:25:25PM +0100, Yaël Chéenne wrote:

> A mon avis, vous prenez le problème à l'envers:

  Merci, Yaël, de ton avis.

  Je commence à douter que la machine ait été jamais infectée.
Explication: David (et moi) observons les mêmes symptômes (ports
ouverts de façon mystérieuse) sur la machine qui remplace celle qui
aurait été piratée. Je me pose beaucoup de questions. Vous pouvez
tester vous-mêmes, son adresse IP est ci-dessous. Deux symptômes
suspects passés (et non reproductibles) sont :

  - perte de ssh une fois jeudi après-midi par moi, à la suite de gels
des connexions en faisant des tests sur rsync en IPv4 aussi bien que
IPv6 ;

  - la machine ne s'éteignait plus en appuyant sur le bouton (ce qui
laisse imaginer un problème de module ou de démontage de partition). 2
fois.

  Tous ces symptômes ont disparu quand rallumée hors connexion IP.

> La machine "infectée" :
> 
> Connectée à Internet ? Oui / Non

  Oui.

> Comment ? Firewall / Proxy

  ADSL / Firewall de ma pomme (iptables) en IPv6 (presque tout
fermé). ipmasq en IPv4 (qui n'est pas un vrai coupe-feu : en gros tout
ouvert en sortie).

> Où ? Accès direct IP / FAI / DynDNS

  81.56.210.7 / Free / lehobey-roncey.dyndns.org

> Quel niveau de firewall (SPI / N3 ou N4 OSI / N7 (ce qui m'étonnerait
fort)
> ?

  Rien d'autre que ce que j'ai dit. Il n'y avait pas de données
critiques. Juste un usage personnel : servir de routeur IPv6 pour le
protocole 6to4. Elle servait aussi de serveur de sauvegarde de 3
machines dont elle-même (idiot de cumuler tant de services sur une
machine accessible d'Internet, mais elle n'avait qu'un usage
non-professionnel et j'étais persuadé qu'une Debian sarge sur sparc me
mettait à l'abri de pas mal de problèmes).

> Qu'y a-t-il dans les logs des protections ?

  Rien. Nada. Je n'ai passé que quelques heures dessus. À reprendre et
continuer de façon systématique.

> De toute façon, ce n'est pas l'architecture  qu'il(s) convoitaient, un
> UltraSparc 64
> n'a rien d'extraordinaire et s'attendai(ent)-ils peut-être à trouver autre
> chose qu'un Linux ? (SunOS / Solaris)
> 
> Qui te dit que la machine a été infectée ? Ce n'est pas parce qu'un petit
> malin est rentré dans un système que ce dernier
> est infecté. Il est rentré par une porte qui a peu résisté et même si ta
> Debian est à jour (noyau, proto, accès divers et variés),

  Cette intrusion, ou sa trace, reste à trouver.

> ce n'est pas cela qui l'empêchera de passer. Il a pris quelque chose ?

  Rien à ma connaissance. Mais s'il a eu l'accès root, il pouvait tout
prendre...

> Autre chose, il a très bien pu s'introduire par une faille ou un exploit
> récemment découvert, alors que ta Debian n'était pas à jour, un

  La Debian était à jour et l'a toujours été.

> zombie a très bien pu s'installer sans que tu ne voies quoique ce soit,
avec
> ou sans rootkit.

  Comment ?

> De plus, si il est un peu malin, il n'aura pas laissé de trace dans
/var/*.
> A ta place, je regarderai plutôt du côté des piles IP,
> et ce de bout en bout, depuis internet jusqu'à la machine, quitte à faire
de
> la reconstruction de trame en C, czr c'est à partir du dump
> IP que tu vas pouvoir débusquer un bout de piste.

  Heu... la machine est en morceaux et j'ai ses deux disques (sur
lesquels tout *a l'air* normal). J'ai du mal à avaler l'hypothèse du
pirate de grande classe qui est rentré sur une sparc64 simplement
parce qu'elle fonctionnait 24h/24h. En plus l'upload du lien était
médiocre (ADSL 512).

> Ce que j'en dis ...

  Merci !

Dubitativement,
Frédéric


-- 
----------------------------------------
J'utilise la version gratuite SPAMfighter pour utilsateurs privés.
9353 emails spam ont été filtrés jusqu'à présent.
Les utilisateurs payants n'ont pas ce message dans leurs emails.
Essayez www.SPAMfighter.com gratuitement aujourd'hui!
<< Fichier: signature.asc>>

<<attachment: winmail.dat>>