[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [linux]



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


On 28-Jun-2001 Alain EMPAIN wrote:
> Bonjour tout le monde,
> 
> il y a deux jours j'ai eu une expérience à la fois très intéressante (dans le
> sens du docteur qui voit un 'cas') et très embarrassante :
> j'ai découvert un rootkit sur un serveur NAS, basé sur redhat.
> Gràce à www.chkrootkit.org, j'ai pu explorer et vérifier mes autres machines.
> 
> Le rootkit était caché en /usr/man/man1/..  /.dir  (dot dot space space) : cd
> "..  " permet d'y aller, ls -b affiche "..\ \ " un backslash devant chaque
> espace.
> ps, top, ifconfig... étaient bidouillés (ps n'affichait pas les programmes
> scan et snif...) mais kpm permettait de les voir.
> J'ai retiré le default gw pour pouvoir observer plus à l'aise.

Plutot le cable car 'route' est trojané aussi 8-) 

Il est conseillé de "stripper" chaque machine avant de faire une connection sur
un réseau important (LAN Unif, Internet, Content Provider Network). 

Le stripping (+ divers) consiste en : 

        * Suppression des packages inutilisés
        * Suppression setuid & setgid (en pratique uniquement su)
        * Installation de SSHv2 (disable le protocol v1, suppression de login
          avec password, pas de root login permit (uniq via 'su -')
        * Utilisation uniquement des clefs RSA (authorized_key) pour ssh
        * Vérification avec 'lsof' pour les entrées INET (TCP & UDP)
        * Vérification des permissions (genre find / -perm -04000 -print)
        * Installation packet filtering sur chaque machine (je sais cela
          peut-etre lourd mais cela n'aide pas les root kits, qui essaye
          toujours de placer un tunnel pour l'admin à distance (cf Lokicmp))
        * Patches application utilisée
        * Recompile du noyau pour ne permettre l'utilisation des kernel
          modules (j'ai de beau exemple pour remapper les call de ld.so).

        Si c'est un serveur, un LOMAC ou LIDS peut etre installé pour faire du
        mandatory access control. 
 
        Un logging centralisé (syslog avec PEO), plus simple pour voir les
        trucs bizarres.
 
        Un NIDS aussi est très bien détecter les binaires trojanés.
        (http://www.snort.org avec ACID/Cert)
        

Pour moi, les statistiques c'est pour le marketing ou le management. La
meilleur solution c'est de prendre le taureau par les cornes et passé sur
chaque machine pour le stripping (je sais cela peut-etre lourd).

Mais c'est plus simple de faire cela, que d'avoir par la suite un worm qui
installé un root-kit sur toutes les machines du lab et dire que le lab est
indisponibles ainsi que les datas. 

Hope this helps

alx
 



 

> Bref, je prépare maintenant la suite, car à l'ULG le réseau est plutôt du
> type 'public'.
> Comme je suis responsable d'une augmentation sensible du nombre de machines
> Linux en faculté vétérinaire, j'aimerais m'appuyer sur des statistiques pour
> défendre la position de Linux vis-à-vis de la sécurité. J'ai trouvé des
> statistiques fort intéressantes concernant les intrusions (donc ne s'occupe
> pas des virus individuels, cf ILoveYou), qui permettent :
> 
> 1/ de voir que l'augmentation globale des accidents est effrayante -> ce
> qu'on considérait comme un status-quo valable au niveau de la sécurité risque
> de bien vite être un leurre (87% du total des accidents après août 1999, voir
> les graphiques sur le site).
> 
> 2/ de confirmer que Windows NT/2000 est en tête (au niveau des serveur web,
> IIS est concerné par les 2/3 des accidents alors qu'au niveau de la
> population des serveurs, Apache est nettement dominant)
> 
> 3/ .L'avis des compagnies assurant le risque de pertes financières dues aux
> intrusions (basé sur 4000 cas traîtés, 50%NT 50%Unix) :
> 
> S. Wurzler Underwriting Managers, one of the first companies to offer hacker
> insurance, has begun charging its clients 5
> percent to 15 percent more if they use Microsoft's Windows NT software in
> their Internet operations. Although several larger
> insurers said they won't increase their NT-related premiums, Wurzler's
> announcement indicates growing frustration with
> the ongoing discoveries of vulnerabilities in Microsoft's products. 
> And Wurzler's not through with Microsoft. He said his firm is looking at
> vulnerabilities in Microsoft's Internet Information
> Server software, and that it may soon begin charging higher premiums for that
> product, too. 
> 
> =====> Ma question : il serait intéressant de connaître la proportion de
> RedHat/Suse/Debian... pour pouvoir les comparer de façon relative, car les
> chiffres absolus montrent beaucoup plus d'accidents chez RedHAt que chez
> Debian/SuSE, or il me semble que par ex. SuSE est quand même relativement
> assez répandue, moins que RedHat  mais du même ordre de grandeur.
> 
>  
>       Merci pour vos commentaires
>       
>       Alain
> 
> ------------------------------------------------------------------------------
> -------
>       http://attrition.org/mirror/attrition/os.html#ALL
> ------------------------------------------------------------------------------
> -------
> Extrait de la liste (le tout est en attachement)
> 
> 
> Overall OS Counts, August 1999 To May 17, 2001
> 
> Operating
> System                        Count   Percent
> ==================================
>  Win-NT                       7251    54.54
>  Linux (unknown
>  distro)                      1575    11.85
>  Linux (RedHat) 1229  9.24
>  ....
>  Linux (Debian)       27      0.20
>  
>  Linux (SuSE) 17      0.13
>  Linux (Mandrake)
>                               16      0.12
>  Digital Unix         15      0.11
>  AIX                  13      0.10
>  HPUX                 12      0.09
> NetWare       4       0.03
>  Linux (Slackware)
>                               3       0.02
>  Digital OSF1         2       0.02
>  PowerBSD     2       0.02
>  MacOSX       1       0.01
> ------------------------------ 
> Defacements   13295   87.45%
>  Since August
>  1999 
>                
> TOTAL         15203   100%
>  DEFACEMENTS 
> 
> +--------------------------------------------------------------------
>|  Dr Alain EMPAIN      Bioinformatique, Génétique Moléculaire B43,
>|  Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège  
>|       Alain.EMPAIN@ulg.ac.be
>|       WORK:+32 4 366 3821 Fax: +32 4 366 4122   GSM:+32 497 701764
>|       HOME:+32 85 512341  -- Rue des Martyrs,7  B-4550 Nandrin

Alexandre Dulaunoy
http://www.foo.be/
AD993-RIPE

"It is ridiculous claiming that video games influence
children. For instance, if Pac-man affected kids born
in the eighties, we should by now have a bunch of
teenagers who run around in darkened rooms and eat
pills while listening to monotonous electronic music."
                                Anonymous...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: Where is my key ? http://www.foo.be/key.txt

iD8DBQE7O2WRaY1aKQ+qq/4RAlmZAJ4xc7e1C1dnsEp36K31RB7Vixn1CwCeNOjQ
B55K0RmxuLtsqelxJfnf0nI=
=cfr+
-----END PGP SIGNATURE-----

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]