Bonjour tout le monde, il y a deux jours j'ai eu une expérience à la fois très intéressante (dans le sens du docteur qui voit un 'cas') et très embarrassante : j'ai découvert un rootkit sur un serveur NAS, basé sur redhat. Gràce à www.chkrootkit.org, j'ai pu explorer et vérifier mes autres machines. Le rootkit était caché en /usr/man/man1/.. /.dir (dot dot space space) : cd ".. " permet d'y aller, ls -b affiche "..\ \ " un backslash devant chaque espace. ps, top, ifconfig... étaient bidouillés (ps n'affichait pas les programmes scan et snif...) mais kpm permettait de les voir. J'ai retiré le default gw pour pouvoir observer plus à l'aise. Bref, je prépare maintenant la suite, car à l'ULG le réseau est plutôt du type 'public'. Comme je suis responsable d'une augmentation sensible du nombre de machines Linux en faculté vétérinaire, j'aimerais m'appuyer sur des statistiques pour défendre la position de Linux vis-à-vis de la sécurité. J'ai trouvé des statistiques fort intéressantes concernant les intrusions (donc ne s'occupe pas des virus individuels, cf ILoveYou), qui permettent : 1/ de voir que l'augmentation globale des accidents est effrayante -> ce qu'on considérait comme un status-quo valable au niveau de la sécurité risque de bien vite être un leurre (87% du total des accidents après août 1999, voir les graphiques sur le site). 2/ de confirmer que Windows NT/2000 est en tête (au niveau des serveur web, IIS est concerné par les 2/3 des accidents alors qu'au niveau de la population des serveurs, Apache est nettement dominant) 3/ .L'avis des compagnies assurant le risque de pertes financières dues aux intrusions (basé sur 4000 cas traîtés, 50%NT 50%Unix) : S. Wurzler Underwriting Managers, one of the first companies to offer hacker insurance, has begun charging its clients 5 percent to 15 percent more if they use Microsoft's Windows NT software in their Internet operations. Although several larger insurers said they won't increase their NT-related premiums, Wurzler's announcement indicates growing frustration with the ongoing discoveries of vulnerabilities in Microsoft's products. And Wurzler's not through with Microsoft. He said his firm is looking at vulnerabilities in Microsoft's Internet Information Server software, and that it may soon begin charging higher premiums for that product, too. =====> Ma question : il serait intéressant de connaître la proportion de RedHat/Suse/Debian... pour pouvoir les comparer de façon relative, car les chiffres absolus montrent beaucoup plus d'accidents chez RedHAt que chez Debian/SuSE, or il me semble que par ex. SuSE est quand même relativement assez répandue, moins que RedHat mais du même ordre de grandeur. Merci pour vos commentaires Alain ------------------------------------------------------------------------------------- http://attrition.org/mirror/attrition/os.html#ALL ------------------------------------------------------------------------------------- Extrait de la liste (le tout est en attachement) Overall OS Counts, August 1999 To May 17, 2001 Operating System Count Percent ================================== Win-NT 7251 54.54 Linux (unknown distro) 1575 11.85 Linux (RedHat) 1229 9.24 .... Linux (Debian) 27 0.20 Linux (SuSE) 17 0.13 Linux (Mandrake) 16 0.12 Digital Unix 15 0.11 AIX 13 0.10 HPUX 12 0.09 NetWare 4 0.03 Linux (Slackware) 3 0.02 Digital OSF1 2 0.02 PowerBSD 2 0.02 MacOSX 1 0.01 ------------------------------ Defacements 13295 87.45% Since August 1999 TOTAL 15203 100% DEFACEMENTS +-------------------------------------------------------------------- | Dr Alain EMPAIN Bioinformatique, Génétique Moléculaire B43, | Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège | Alain.EMPAIN@ulg.ac.be | WORK:+32 4 366 3821 Fax: +32 4 366 4122 GSM:+32 497 701764 | HOME:+32 85 512341 -- Rue des Martyrs,7 B-4550 Nandrin
Attachment:
hackstats
Description: Binary data