[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [linux]



Bonjour,

sans oublié des commandes comme 'chattr' +a (append) +i (immutable) qui 
permettent de ne faire QUE des ajoutes (log files) ou de ne JAMAIS pouvoir 
effacer un fichier (/bin, /sbin, ...).

Bien à toi.


>===== Original Message From Alexandre Dulaunoy <alex@thinkingsecure.com> 
=====
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA1
>
>
>On 28-Jun-2001 Alain EMPAIN wrote:
>> Bonjour tout le monde,
>>
>> il y a deux jours j'ai eu une expérience à la fois très intéressante (dans 
le
>> sens du docteur qui voit un 'cas') et très embarrassante :
>> j'ai découvert un rootkit sur un serveur NAS, basé sur redhat.
>> Gràce à www.chkrootkit.org, j'ai pu explorer et vérifier mes autres 
machines.
>>
>> Le rootkit était caché en /usr/man/man1/..  /.dir  (dot dot space space) : 
cd
>> "..  " permet d'y aller, ls -b affiche "..\ \ " un backslash devant chaque
>> espace.
>> ps, top, ifconfig... étaient bidouillés (ps n'affichait pas les programmes
>> scan et snif...) mais kpm permettait de les voir.
>> J'ai retiré le default gw pour pouvoir observer plus à l'aise.
>
>Plutot le cable car 'route' est trojané aussi 8-)
>
>Il est conseillé de "stripper" chaque machine avant de faire une connection 
sur
>un réseau important (LAN Unif, Internet, Content Provider Network).
>
>Le stripping (+ divers) consiste en :
>
>        * Suppression des packages inutilisés
>        * Suppression setuid & setgid (en pratique uniquement su)
>        * Installation de SSHv2 (disable le protocol v1, suppression de login
>          avec password, pas de root login permit (uniq via 'su -')
>        * Utilisation uniquement des clefs RSA (authorized_key) pour ssh
>        * Vérification avec 'lsof' pour les entrées INET (TCP & UDP)
>        * Vérification des permissions (genre find / -perm -04000 -print)
>        * Installation packet filtering sur chaque machine (je sais cela
>          peut-etre lourd mais cela n'aide pas les root kits, qui essaye
>          toujours de placer un tunnel pour l'admin à distance (cf Lokicmp))
>        * Patches application utilisée
>        * Recompile du noyau pour ne permettre l'utilisation des kernel
>          modules (j'ai de beau exemple pour remapper les call de ld.so).
>
>        Si c'est un serveur, un LOMAC ou LIDS peut etre installé pour faire 
du
>        mandatory access control.
>
>        Un logging centralisé (syslog avec PEO), plus simple pour voir les
>        trucs bizarres.
>
>        Un NIDS aussi est très bien détecter les binaires trojanés.
>        (http://www.snort.org avec ACID/Cert)
>
>
>Pour moi, les statistiques c'est pour le marketing ou le management. La
>meilleur solution c'est de prendre le taureau par les cornes et passé sur
>chaque machine pour le stripping (je sais cela peut-etre lourd).
>
>Mais c'est plus simple de faire cela, que d'avoir par la suite un worm qui
>installé un root-kit sur toutes les machines du lab et dire que le lab est
>indisponibles ainsi que les datas.
>
>Hope this helps
>
>alx
>
>
>
>
>
>
>> Bref, je prépare maintenant la suite, car à l'ULG le réseau est plutôt du
>> type 'public'.
>> Comme je suis responsable d'une augmentation sensible du nombre de machines
>> Linux en faculté vétérinaire, j'aimerais m'appuyer sur des statistiques 
pour
>> défendre la position de Linux vis-à-vis de la sécurité. J'ai trouvé des
>> statistiques fort intéressantes concernant les intrusions (donc ne s'occupe
>> pas des virus individuels, cf ILoveYou), qui permettent :
>>
>> 1/ de voir que l'augmentation globale des accidents est effrayante -> ce
>> qu'on considérait comme un status-quo valable au niveau de la sécurité 
risque
>> de bien vite être un leurre (87% du total des accidents après août 1999, 
voir
>> les graphiques sur le site).
>>
>> 2/ de confirmer que Windows NT/2000 est en tête (au niveau des serveur web,
>> IIS est concerné par les 2/3 des accidents alors qu'au niveau de la
>> population des serveurs, Apache est nettement dominant)
>>
>> 3/ .L'avis des compagnies assurant le risque de pertes financières dues aux
>> intrusions (basé sur 4000 cas traîtés, 50%NT 50%Unix) :
>>
>> S. Wurzler Underwriting Managers, one of the first companies to offer 
hacker
>> insurance, has begun charging its clients 5
>> percent to 15 percent more if they use Microsoft's Windows NT software in
>> their Internet operations. Although several larger
>> insurers said they won't increase their NT-related premiums, Wurzler's
>> announcement indicates growing frustration with
>> the ongoing discoveries of vulnerabilities in Microsoft's products.
>> And Wurzler's not through with Microsoft. He said his firm is looking at
>> vulnerabilities in Microsoft's Internet Information
>> Server software, and that it may soon begin charging higher premiums for 
that
>> product, too.
>>
>> =====> Ma question : il serait intéressant de connaître la proportion de
>> RedHat/Suse/Debian... pour pouvoir les comparer de façon relative, car les
>> chiffres absolus montrent beaucoup plus d'accidents chez RedHAt que chez
>> Debian/SuSE, or il me semble que par ex. SuSE est quand même relativement
>> assez répandue, moins que RedHat  mais du même ordre de grandeur.
>>
>>
>>       Merci pour vos commentaires
>>
>>       Alain
>>
>> 
------------------------------------------------------------------------------
>> -------
>>       http://attrition.org/mirror/attrition/os.html#ALL
>> 
------------------------------------------------------------------------------
>> -------
>> Extrait de la liste (le tout est en attachement)
>>
>>
>> Overall OS Counts, August 1999 To May 17, 2001
>>
>> Operating
>> System                        Count   Percent
>> ==================================
>>  Win-NT                       7251    54.54
>>  Linux (unknown
>>  distro)                      1575    11.85
>>  Linux (RedHat) 1229  9.24
>>  ....
>>  Linux (Debian)       27      0.20
>>
>>  Linux (SuSE) 17      0.13
>>  Linux (Mandrake)
>>                               16      0.12
>>  Digital Unix         15      0.11
>>  AIX                  13      0.10
>>  HPUX                 12      0.09
>> NetWare       4       0.03
>>  Linux (Slackware)
>>                               3       0.02
>>  Digital OSF1         2       0.02
>>  PowerBSD     2       0.02
>>  MacOSX       1       0.01
>> ------------------------------
>> Defacements   13295   87.45%
>>  Since August
>>  1999
>>
>> TOTAL         15203   100%
>>  DEFACEMENTS
>>
>> +--------------------------------------------------------------------
>>|  Dr Alain EMPAIN      Bioinformatique, Génétique Moléculaire B43,
>>|  Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège
>>|       Alain.EMPAIN@ulg.ac.be
>>|       WORK:+32 4 366 3821 Fax: +32 4 366 4122   GSM:+32 497 701764
>>|       HOME:+32 85 512341  -- Rue des Martyrs,7  B-4550 Nandrin
>
>Alexandre Dulaunoy
>http://www.foo.be/
>AD993-RIPE
>
>"It is ridiculous claiming that video games influence
>children. For instance, if Pac-man affected kids born
>in the eighties, we should by now have a bunch of
>teenagers who run around in darkened rooms and eat
>pills while listening to monotonous electronic music."
>                                Anonymous...
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v1.0.4 (GNU/Linux)
>Comment: Where is my key ? http://www.foo.be/key.txt
>
>iD8DBQE7O2WRaY1aKQ+qq/4RAlmZAJ4xc7e1C1dnsEp36K31RB7Vixn1CwCeNOjQ
>B55K0RmxuLtsqelxJfnf0nI=
>=cfr+
>-----END PGP SIGNATURE-----
>
>[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
>[ le type de demande...                                            ]
>[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
>[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]

------------------------------------------------------------
 Get your FREE web-based e-mail and newsgroup access at:
                http://MailAndNews.com

 Create a new mailbox, or access your existing IMAP4 or
 POP3 mailbox from anywhere with just a web browser.
------------------------------------------------------------


[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]