[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] redémarrage eth0
Je suis entièrement de l'avis d'Alain. Surtout pour ceux qui sont sur un
LAN/WAN, bourré de bécannes dans tous les coins !
C'est le boulot d'un bon administrateur unix que de s'occuper de la sécurité
et de la sécurisation (c'est 2 choses différentes) de la machine qu'il
administre, voire de participer à la sécurisation (et même détection des
failles) de son réseau. C'est comme cela que l'on avance.
Cybersalutations
Benjamin
On Fri, 9 Nov 2001, Alain EMPAIN wrote:
> On Thursday 08 November 2001 22:57, you wrote:
> > oui, mais ca ne changera rien quand au scan que tu recois ... comprends
> > pas trop pourkwa les gens sont tout effrayes par les scanports ...
>
> Quand tu auras un rootkit installé sur ta machine, et qu'elle servira de
> plateforme pour scanner ton réseau, attraper les passwords qui défilent en
> clair (pop3, telnet...), attaquer d'autres réseaux n'importe où dans le monde
> ...
> J'ai eu le cas avec un serveur de fichiers qui a été livré avec un RedHat pré
> installé (c-à-d 'bien ouvert', je m'en suis rendu compte trop tard) sous la
> forme d'un cube à brancher au réseau. J'avais eu le tort de faire confiance
> par défaut à une installation 'pro' que je n'avais pas réalisée moi-m^eme.
> J'ai commencé par supprimer la route par défaut pour que les paquets ne
> trouvent plus internet, et j'ai observé ce qui se passait (attention, ps
> était un des programmes trafiqués et ne montrait pas de process suspect, mais
> par ex. d'une autre machine je pouvais suivre le trafic de paquets; j'ai
> réinstallé les programmes comme ps, top... sans toucher au reste, pour
> pouvoir observer plus facilement; les rootkits qui s'intègrent au kernel sont
> encore bien plus difficiles à observer car je crois qu'un 'ps' sain n'aurait
> quand m^eme pas la bonne info).
>
> Puis j'ai sué pour localiser ce qui était installé (au dessus d'une directory
> nommée '.. ' : lire 'point point espace')
>
> Le grand nombre de scans proviennent sans doute des nombreuses machines
> contaminées, qui scannent allègrement au hasard pour le bénéfice de
> l'initiateur qui peut passer plus tard par un backdoor récolter les infos
> intéressantes.
>
> Que dirais-tu si tu recevais une perquisition venant de plaintes comme quoi
> tu attaques un réseau sensible (les IP des scans sont tirés au sort : les
> cyber lois sont en cours de développement ou déjà d'application...), ou bien
> si on découvrait un site pédophile installé 'à l'insu de ton plein gré' sur
> ta brave machine, ou si tu participais sans le savoir au crash complet
> d'internet par attaque concertée de milliers de machines sur les DNS
> principaux (complice des Talibans ?).
> Ce n'est plus vraiment un jeu anodin.
>
> >vous ne pouvez de toute facon rien faire pour les empecher.
>
> Les emp^echer non (sauf si tu installes un firewall en amont), mais tu dois
> agir au niveau de ta machine.
> Visite ton /etc/inetd.conf pour virer TOUT ce que tu n'utilises pas (en
> particulier toutes les 'r' commandes (rcp, rsh...) et telnet, installe des
> règles de filtrage (par ex. le personal firewall de SuSE, très simple
> puisqu'il bloque tout service vers l'extérieur) etc.
> Voir les howto.
>
> Je crois qu'il y va de notre sécurité à tous de prendre ces attaques au
> sérieux. On a déjà demandé aux utilisateurs négligeants de serveurs IIS etc.
> de sécuriser leurs serveurs ou de les débrancher : il serait malsain de se
> laisser placer dans le m^eme sac !
>
> --
> Bon amusement,
>
> Alain
> +--------------------------------------------------------------------------------------
> | Dr Alain EMPAIN Bioinformatique, Génétique Moléculaire B43,
> | Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège
> | Alain.EMPAIN@ulg.ac.be
> | WORK:+32 4 366 3821 Fax: +32 4 366 4122 GSM:+32 497 701764
> | HOME:+32 85 512341 -- Rue des Martyrs,7 B-4550 Nandrin
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
Cybersalutations
Benjamin Gonay
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]