[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] redémarrage eth0



 Je suis entièrement de l'avis d'Alain.  Surtout pour ceux qui sont sur un
 LAN/WAN, bourré de bécannes dans tous les coins !
 C'est le boulot d'un bon administrateur unix que de s'occuper de la sécurité
 et de la sécurisation (c'est 2 choses différentes) de la machine qu'il
administre, voire de participer à la sécurisation (et même détection des
failles) de son réseau.  C'est comme cela que l'on avance.

Cybersalutations
Benjamin

On Fri, 9 Nov 2001, Alain EMPAIN wrote:

> On Thursday 08 November 2001 22:57, you wrote:
> > oui, mais ca ne changera rien quand au scan que tu recois ... comprends
> > pas trop pourkwa les gens sont tout effrayes par les scanports ... 
> 
> Quand tu auras un rootkit installé sur ta machine, et qu'elle servira de 
> plateforme pour scanner ton réseau, attraper les passwords qui défilent en 
> clair (pop3, telnet...), attaquer d'autres réseaux n'importe où dans le monde 
> ... 
> J'ai eu le cas avec un serveur de fichiers qui a été livré avec un RedHat pré 
> installé (c-à-d 'bien ouvert', je m'en suis rendu compte trop tard) sous la 
> forme d'un cube à brancher au réseau. J'avais eu le tort de faire confiance 
> par défaut à une installation 'pro' que je n'avais pas réalisée moi-m^eme.
> J'ai commencé par supprimer la route par défaut pour que les paquets ne 
> trouvent plus internet, et j'ai observé ce qui se passait (attention, ps 
> était un des programmes trafiqués et ne montrait pas de process suspect, mais 
> par ex. d'une autre machine je pouvais suivre le trafic de paquets; j'ai 
> réinstallé les programmes comme ps, top... sans toucher au reste, pour 
> pouvoir observer plus facilement; les rootkits qui s'intègrent au kernel sont 
> encore bien plus difficiles à observer car je crois qu'un 'ps' sain n'aurait 
> quand m^eme pas la bonne info).
>  
> Puis j'ai sué pour localiser ce qui était installé (au dessus d'une directory 
> nommée '.. '  : lire 'point point espace')
> 
> Le grand nombre de scans proviennent sans doute des nombreuses machines 
> contaminées, qui scannent allègrement au hasard pour le bénéfice de 
> l'initiateur qui peut passer plus tard par un backdoor récolter les infos 
> intéressantes.
> 
> Que dirais-tu si tu recevais une perquisition venant de plaintes comme quoi 
> tu attaques un réseau sensible (les IP des scans sont tirés au sort : les 
> cyber lois sont en cours de développement ou déjà d'application...), ou bien 
> si on découvrait un site pédophile installé 'à l'insu de ton plein gré' sur 
> ta brave machine, ou si tu participais sans le savoir au crash complet 
> d'internet par attaque concertée de milliers de machines sur les DNS 
> principaux (complice des Talibans ?).
> Ce n'est plus vraiment un jeu anodin. 
> 
> >vous ne pouvez de toute facon rien faire pour les empecher.
> 
> Les emp^echer non (sauf si tu installes un firewall en amont), mais tu dois 
> agir au niveau de ta machine.
> Visite ton /etc/inetd.conf pour virer TOUT ce que tu n'utilises pas (en 
> particulier toutes les 'r' commandes (rcp, rsh...) et telnet, installe des 
> règles de filtrage (par ex. le personal firewall de SuSE, très simple 
> puisqu'il bloque tout service vers l'extérieur) etc.
> Voir les howto.
> 
> Je crois qu'il y va de notre sécurité à tous de prendre ces attaques au 
> sérieux. On a déjà demandé aux utilisateurs négligeants de serveurs IIS etc. 
> de sécuriser leurs serveurs ou de les débrancher : il serait malsain de se 
> laisser placer dans le m^eme sac !
> 
> -- 
> 	Bon amusement,
> 
> 	Alain
> +--------------------------------------------------------------------------------------
> |  Dr Alain EMPAIN      Bioinformatique, Génétique Moléculaire B43,
> |  Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège  
> |       Alain.EMPAIN@ulg.ac.be
> |       WORK:+32 4 366 3821 Fax: +32 4 366 4122   GSM:+32 497 701764
> |       HOME:+32 85 512341  -- Rue des Martyrs,7  B-4550 Nandrin
> 
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> [ http://unixtech.be              Contact: listmaster@unixtech.be  ]
> 


Cybersalutations
Benjamin Gonay



[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]