[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [linux]
Bonjour,
sans oublié des commandes comme 'chattr' +a (append) +i (immutable) qui
permettent de ne faire QUE des ajoutes (log files) ou de ne JAMAIS pouvoir
effacer un fichier (/bin, /sbin, ...).
Bien à toi.
>===== Original Message From Alexandre Dulaunoy <alex@thinkingsecure.com>
=====
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA1
>
>
>On 28-Jun-2001 Alain EMPAIN wrote:
>> Bonjour tout le monde,
>>
>> il y a deux jours j'ai eu une expérience à la fois très intéressante (dans
le
>> sens du docteur qui voit un 'cas') et très embarrassante :
>> j'ai découvert un rootkit sur un serveur NAS, basé sur redhat.
>> Gràce à www.chkrootkit.org, j'ai pu explorer et vérifier mes autres
machines.
>>
>> Le rootkit était caché en /usr/man/man1/.. /.dir (dot dot space space) :
cd
>> ".. " permet d'y aller, ls -b affiche "..\ \ " un backslash devant chaque
>> espace.
>> ps, top, ifconfig... étaient bidouillés (ps n'affichait pas les programmes
>> scan et snif...) mais kpm permettait de les voir.
>> J'ai retiré le default gw pour pouvoir observer plus à l'aise.
>
>Plutot le cable car 'route' est trojané aussi 8-)
>
>Il est conseillé de "stripper" chaque machine avant de faire une connection
sur
>un réseau important (LAN Unif, Internet, Content Provider Network).
>
>Le stripping (+ divers) consiste en :
>
> * Suppression des packages inutilisés
> * Suppression setuid & setgid (en pratique uniquement su)
> * Installation de SSHv2 (disable le protocol v1, suppression de login
> avec password, pas de root login permit (uniq via 'su -')
> * Utilisation uniquement des clefs RSA (authorized_key) pour ssh
> * Vérification avec 'lsof' pour les entrées INET (TCP & UDP)
> * Vérification des permissions (genre find / -perm -04000 -print)
> * Installation packet filtering sur chaque machine (je sais cela
> peut-etre lourd mais cela n'aide pas les root kits, qui essaye
> toujours de placer un tunnel pour l'admin à distance (cf Lokicmp))
> * Patches application utilisée
> * Recompile du noyau pour ne permettre l'utilisation des kernel
> modules (j'ai de beau exemple pour remapper les call de ld.so).
>
> Si c'est un serveur, un LOMAC ou LIDS peut etre installé pour faire
du
> mandatory access control.
>
> Un logging centralisé (syslog avec PEO), plus simple pour voir les
> trucs bizarres.
>
> Un NIDS aussi est très bien détecter les binaires trojanés.
> (http://www.snort.org avec ACID/Cert)
>
>
>Pour moi, les statistiques c'est pour le marketing ou le management. La
>meilleur solution c'est de prendre le taureau par les cornes et passé sur
>chaque machine pour le stripping (je sais cela peut-etre lourd).
>
>Mais c'est plus simple de faire cela, que d'avoir par la suite un worm qui
>installé un root-kit sur toutes les machines du lab et dire que le lab est
>indisponibles ainsi que les datas.
>
>Hope this helps
>
>alx
>
>
>
>
>
>
>> Bref, je prépare maintenant la suite, car à l'ULG le réseau est plutôt du
>> type 'public'.
>> Comme je suis responsable d'une augmentation sensible du nombre de machines
>> Linux en faculté vétérinaire, j'aimerais m'appuyer sur des statistiques
pour
>> défendre la position de Linux vis-à-vis de la sécurité. J'ai trouvé des
>> statistiques fort intéressantes concernant les intrusions (donc ne s'occupe
>> pas des virus individuels, cf ILoveYou), qui permettent :
>>
>> 1/ de voir que l'augmentation globale des accidents est effrayante -> ce
>> qu'on considérait comme un status-quo valable au niveau de la sécurité
risque
>> de bien vite être un leurre (87% du total des accidents après août 1999,
voir
>> les graphiques sur le site).
>>
>> 2/ de confirmer que Windows NT/2000 est en tête (au niveau des serveur web,
>> IIS est concerné par les 2/3 des accidents alors qu'au niveau de la
>> population des serveurs, Apache est nettement dominant)
>>
>> 3/ .L'avis des compagnies assurant le risque de pertes financières dues aux
>> intrusions (basé sur 4000 cas traîtés, 50%NT 50%Unix) :
>>
>> S. Wurzler Underwriting Managers, one of the first companies to offer
hacker
>> insurance, has begun charging its clients 5
>> percent to 15 percent more if they use Microsoft's Windows NT software in
>> their Internet operations. Although several larger
>> insurers said they won't increase their NT-related premiums, Wurzler's
>> announcement indicates growing frustration with
>> the ongoing discoveries of vulnerabilities in Microsoft's products.
>> And Wurzler's not through with Microsoft. He said his firm is looking at
>> vulnerabilities in Microsoft's Internet Information
>> Server software, and that it may soon begin charging higher premiums for
that
>> product, too.
>>
>> =====> Ma question : il serait intéressant de connaître la proportion de
>> RedHat/Suse/Debian... pour pouvoir les comparer de façon relative, car les
>> chiffres absolus montrent beaucoup plus d'accidents chez RedHAt que chez
>> Debian/SuSE, or il me semble que par ex. SuSE est quand même relativement
>> assez répandue, moins que RedHat mais du même ordre de grandeur.
>>
>>
>> Merci pour vos commentaires
>>
>> Alain
>>
>>
------------------------------------------------------------------------------
>> -------
>> http://attrition.org/mirror/attrition/os.html#ALL
>>
------------------------------------------------------------------------------
>> -------
>> Extrait de la liste (le tout est en attachement)
>>
>>
>> Overall OS Counts, August 1999 To May 17, 2001
>>
>> Operating
>> System Count Percent
>> ==================================
>> Win-NT 7251 54.54
>> Linux (unknown
>> distro) 1575 11.85
>> Linux (RedHat) 1229 9.24
>> ....
>> Linux (Debian) 27 0.20
>>
>> Linux (SuSE) 17 0.13
>> Linux (Mandrake)
>> 16 0.12
>> Digital Unix 15 0.11
>> AIX 13 0.10
>> HPUX 12 0.09
>> NetWare 4 0.03
>> Linux (Slackware)
>> 3 0.02
>> Digital OSF1 2 0.02
>> PowerBSD 2 0.02
>> MacOSX 1 0.01
>> ------------------------------
>> Defacements 13295 87.45%
>> Since August
>> 1999
>>
>> TOTAL 15203 100%
>> DEFACEMENTS
>>
>> +--------------------------------------------------------------------
>>| Dr Alain EMPAIN Bioinformatique, Génétique Moléculaire B43,
>>| Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège
>>| Alain.EMPAIN@ulg.ac.be
>>| WORK:+32 4 366 3821 Fax: +32 4 366 4122 GSM:+32 497 701764
>>| HOME:+32 85 512341 -- Rue des Martyrs,7 B-4550 Nandrin
>
>Alexandre Dulaunoy
>http://www.foo.be/
>AD993-RIPE
>
>"It is ridiculous claiming that video games influence
>children. For instance, if Pac-man affected kids born
>in the eighties, we should by now have a bunch of
>teenagers who run around in darkened rooms and eat
>pills while listening to monotonous electronic music."
> Anonymous...
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v1.0.4 (GNU/Linux)
>Comment: Where is my key ? http://www.foo.be/key.txt
>
>iD8DBQE7O2WRaY1aKQ+qq/4RAlmZAJ4xc7e1C1dnsEp36K31RB7Vixn1CwCeNOjQ
>B55K0RmxuLtsqelxJfnf0nI=
>=cfr+
>-----END PGP SIGNATURE-----
>
>[ Soyez précis dans vos sujets svp afin de déterminer directement ]
>[ le type de demande... ]
>[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
>[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]
------------------------------------------------------------
Get your FREE web-based e-mail and newsgroup access at:
http://MailAndNews.com
Create a new mailbox, or access your existing IMAP4 or
POP3 mailbox from anywhere with just a web browser.
------------------------------------------------------------
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]