Discussions et informations sur ce qui se passe dans le monde de l'informatique.
Répondre

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#1Messageil y a 11 ans

il semble malgré tout que l'infection soit due à une négligence caractérisée: donner un accès Root permanent à un intervenant externe est un peu n'importe quoi.
normalement, à supposer qu'on ait besoin de faire intervenir une personne externe sur une machine (ce qui est déjà énorme), on crée un utilisateur temporaire auquel on attribue les permissions nécessaires (en l'autorisant par exemple à utiliser Sudo); puis une fois la manip terminée, on supprime cet utilisateur temporaire (lui enlever les droits ne suffit pas, car il a eu accès à tout l'environnement de la machine et en connait les failles potentiels).
en tout état de cause, la sécurité informatique est un métier, et confier l'administration d'un serveur à un amateur se termine toujours de la même façon...
on dit souvent qu'un serveur sous Linux ou BSD est robuste, mais c'est seulement vrai si on respecte certaines règles basiques (mais néanmoins importantes).

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#2Messageil y a 11 ans

Il y a Teamviewer sous Linux, et il marche très bien. Mais bon... :maisnon:

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#3Messageil y a 11 ans

bluc a écrit :Mes essais ont été fait qu'en local, d'un de mes ordis a un autre, ça n'a pas empêcher que le lendemain quelqu'un a pris possession de mon ordi et m'a mis dans mon ordi un virus Linux , vieux et inoffensif , mais quand même

ça me semble assez curieux; si tu as fait tes essais uniquement au sein de ton LAN, tu n'as du mettre en place aucune règle NAT ni ouvrir de port dans le pare-feu de ta box: tu n'as donc pas dans ce cas d'accès ouvert vers une machine de ton LAN.
en plus, en me plaçant du point de vue du "pirate", je cherche quel intérêt il y a à uploader un virus dans une machine sur laquelle on a déjà le contrôle.
mais si tu me dis de quel virus il s'agit, je pourrai te dire d'où il vient...

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#4Messageil y a 11 ans

effectivement, je crois même pas qu'il marcherait, mais je le garde, il m'intéresse (c'est plus une sorte de proof of concept); j'aime beaucoup le système qui tente de bruteforcer le root, si simpliste que je me demande comment son concepteur a pu imaginer une seconde que ça puisse marcher...
ceci dit, ça n'explique pas comment tu l'as eu, pour les raisons que je t'ai énoncées plus haut.

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#5Messageil y a 11 ans

non, Vino ne sait pas ouvrir les ports, ni en local, ni sur une box; et en plus ça ne suffit pas, il faut en plus une règle NAT pour que la requête arrivant coté public soit redirigée vers le bon PC du LAN. sinon, oui, une fois que Vino tourne, il faut l'arrêter manuellement, mais peu importe puisqu'il n'offre pas d'accès sans un paramètrage externe.

moi je pense qu'à un moment, tu as téléchargé une archive, et que quand tu l'as extraite (sans vérifier son contenu), le dossier ".a" était dedans (accidentellement je pense, puisque les scripts fournis avaient déjà servi, et pas chez toi); il y a un script qui détecte le nom d'utilisateur, mais il avait déjà été utilisé sur une autre machine que la tienne, mais pas sur la tienne. les scripts utilisent Ssh, mais pas VNC (donc Vino n'a rien à voir).
il est même possible que tu aies installé un DEB vérolé, avec un script post-install qui crée le répertoire ".a" (ce DEB ne vient évidemment pas des dépots), mais je crois moins à cette solution...

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#6Messageil y a 11 ans

Bonjour,

J'ai suivi une formation en Sécurité, et dans ce genre de cas, on soumet le ou les fichiers suspects à un site comme Virustotal ou Jotti.

Sans le rapport, difficile de se prononcer. Il y a souvent une ou deux détections heuristiques non significatives, mais c'est un bon gendarme.

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#7Messageil y a 11 ans

"delles" n'est pas une commande, mais ton terminal devait être ouvert dans le répertoire ~/.a/delles...
mais si un utilisateur était vraiment connecté, tu as un gros problème avec ton pare-feu; tu es bien sûr que tu n'avais rien ouvert ? parce que le programme ne peut pas ouvrir lui-même des ports; d'ailleurs, en épluchant ce qui est épluchable, je continue à penser qu'il ne peut rien faire (à part balancer des insultes sur des chans IRC).
tu avais certainement un autre problème que ce logiciel...

Un rootkit ayant infecté des serveurs sous RHEL/CentOS.

#8Messageil y a 11 ans

c'est même probable, l'accès de l'extérieur étant compromis sans ça...
cela dit, l'accès d'une Livebox peut se contourner (très simplement même, dans la mesure où tout le monde laisse le mot de passe par défaut); j'ai déjà réussi à avoir accès au panneau d'administration de l'extérieur, sans même connaitre l'IP publique de la box (grâce à leur gestion super-intelligente des points d'accès publiques).
Répondre