[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] redémarrage eth0



On Thursday 08 November 2001 22:57, you wrote:
> oui, mais ca ne changera rien quand au scan que tu recois ... comprends
> pas trop pourkwa les gens sont tout effrayes par les scanports ... 

Quand tu auras un rootkit installé sur ta machine, et qu'elle servira de 
plateforme pour scanner ton réseau, attraper les passwords qui défilent en 
clair (pop3, telnet...), attaquer d'autres réseaux n'importe où dans le monde 
... 
J'ai eu le cas avec un serveur de fichiers qui a été livré avec un RedHat pré 
installé (c-à-d 'bien ouvert', je m'en suis rendu compte trop tard) sous la 
forme d'un cube à brancher au réseau. J'avais eu le tort de faire confiance 
par défaut à une installation 'pro' que je n'avais pas réalisée moi-m^eme.
J'ai commencé par supprimer la route par défaut pour que les paquets ne 
trouvent plus internet, et j'ai observé ce qui se passait (attention, ps 
était un des programmes trafiqués et ne montrait pas de process suspect, mais 
par ex. d'une autre machine je pouvais suivre le trafic de paquets; j'ai 
réinstallé les programmes comme ps, top... sans toucher au reste, pour 
pouvoir observer plus facilement; les rootkits qui s'intègrent au kernel sont 
encore bien plus difficiles à observer car je crois qu'un 'ps' sain n'aurait 
quand m^eme pas la bonne info).
 
Puis j'ai sué pour localiser ce qui était installé (au dessus d'une directory 
nommée '.. '  : lire 'point point espace')

Le grand nombre de scans proviennent sans doute des nombreuses machines 
contaminées, qui scannent allègrement au hasard pour le bénéfice de 
l'initiateur qui peut passer plus tard par un backdoor récolter les infos 
intéressantes.

Que dirais-tu si tu recevais une perquisition venant de plaintes comme quoi 
tu attaques un réseau sensible (les IP des scans sont tirés au sort : les 
cyber lois sont en cours de développement ou déjà d'application...), ou bien 
si on découvrait un site pédophile installé 'à l'insu de ton plein gré' sur 
ta brave machine, ou si tu participais sans le savoir au crash complet 
d'internet par attaque concertée de milliers de machines sur les DNS 
principaux (complice des Talibans ?).
Ce n'est plus vraiment un jeu anodin. 

>vous ne pouvez de toute facon rien faire pour les empecher.

Les emp^echer non (sauf si tu installes un firewall en amont), mais tu dois 
agir au niveau de ta machine.
Visite ton /etc/inetd.conf pour virer TOUT ce que tu n'utilises pas (en 
particulier toutes les 'r' commandes (rcp, rsh...) et telnet, installe des 
règles de filtrage (par ex. le personal firewall de SuSE, très simple 
puisqu'il bloque tout service vers l'extérieur) etc.
Voir les howto.

Je crois qu'il y va de notre sécurité à tous de prendre ces attaques au 
sérieux. On a déjà demandé aux utilisateurs négligeants de serveurs IIS etc. 
de sécuriser leurs serveurs ou de les débrancher : il serait malsain de se 
laisser placer dans le m^eme sac !

-- 
	Bon amusement,

	Alain
+--------------------------------------------------------------------------------------
|  Dr Alain EMPAIN      Bioinformatique, Génétique Moléculaire B43,
|  Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège  
|       Alain.EMPAIN@ulg.ac.be
|       WORK:+32 4 366 3821 Fax: +32 4 366 4122   GSM:+32 497 701764
|       HOME:+32 85 512341  -- Rue des Martyrs,7  B-4550 Nandrin

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]