[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] redémarrage eth0
On Thursday 08 November 2001 22:57, you wrote:
> oui, mais ca ne changera rien quand au scan que tu recois ... comprends
> pas trop pourkwa les gens sont tout effrayes par les scanports ...
Quand tu auras un rootkit installé sur ta machine, et qu'elle servira de
plateforme pour scanner ton réseau, attraper les passwords qui défilent en
clair (pop3, telnet...), attaquer d'autres réseaux n'importe où dans le monde
...
J'ai eu le cas avec un serveur de fichiers qui a été livré avec un RedHat pré
installé (c-à-d 'bien ouvert', je m'en suis rendu compte trop tard) sous la
forme d'un cube à brancher au réseau. J'avais eu le tort de faire confiance
par défaut à une installation 'pro' que je n'avais pas réalisée moi-m^eme.
J'ai commencé par supprimer la route par défaut pour que les paquets ne
trouvent plus internet, et j'ai observé ce qui se passait (attention, ps
était un des programmes trafiqués et ne montrait pas de process suspect, mais
par ex. d'une autre machine je pouvais suivre le trafic de paquets; j'ai
réinstallé les programmes comme ps, top... sans toucher au reste, pour
pouvoir observer plus facilement; les rootkits qui s'intègrent au kernel sont
encore bien plus difficiles à observer car je crois qu'un 'ps' sain n'aurait
quand m^eme pas la bonne info).
Puis j'ai sué pour localiser ce qui était installé (au dessus d'une directory
nommée '.. ' : lire 'point point espace')
Le grand nombre de scans proviennent sans doute des nombreuses machines
contaminées, qui scannent allègrement au hasard pour le bénéfice de
l'initiateur qui peut passer plus tard par un backdoor récolter les infos
intéressantes.
Que dirais-tu si tu recevais une perquisition venant de plaintes comme quoi
tu attaques un réseau sensible (les IP des scans sont tirés au sort : les
cyber lois sont en cours de développement ou déjà d'application...), ou bien
si on découvrait un site pédophile installé 'à l'insu de ton plein gré' sur
ta brave machine, ou si tu participais sans le savoir au crash complet
d'internet par attaque concertée de milliers de machines sur les DNS
principaux (complice des Talibans ?).
Ce n'est plus vraiment un jeu anodin.
>vous ne pouvez de toute facon rien faire pour les empecher.
Les emp^echer non (sauf si tu installes un firewall en amont), mais tu dois
agir au niveau de ta machine.
Visite ton /etc/inetd.conf pour virer TOUT ce que tu n'utilises pas (en
particulier toutes les 'r' commandes (rcp, rsh...) et telnet, installe des
règles de filtrage (par ex. le personal firewall de SuSE, très simple
puisqu'il bloque tout service vers l'extérieur) etc.
Voir les howto.
Je crois qu'il y va de notre sécurité à tous de prendre ces attaques au
sérieux. On a déjà demandé aux utilisateurs négligeants de serveurs IIS etc.
de sécuriser leurs serveurs ou de les débrancher : il serait malsain de se
laisser placer dans le m^eme sac !
--
Bon amusement,
Alain
+--------------------------------------------------------------------------------------
| Dr Alain EMPAIN Bioinformatique, Génétique Moléculaire B43,
| Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège
| Alain.EMPAIN@ulg.ac.be
| WORK:+32 4 366 3821 Fax: +32 4 366 4122 GSM:+32 497 701764
| HOME:+32 85 512341 -- Rue des Martyrs,7 B-4550 Nandrin
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]