› Forums › Communauté › Le Bar
Piratage sous linux
9 sujets de 1 à 9 (sur un total de 9)
-
D’abord, 1000 fois pardon à ceux que je dérange en posant une question » linux » sur Amigaimpact.
Mais si il y a un endroit où je peux trouver une aide cordiale et efficace, c’est bien ici.
Bon, alors, je suis sous linux Ubuntu 8.04. Ce matin, je me suis rendu compte que j’avais été piraté en utilisant une attaque par brute-force sur le port 22 ( ssh ). Le pirate a installé des programmes dans mon repertoire /tmp et les a executé. J’ai effacé du repertoire tmp ces programmes ( je les ai conservé ailleurs ), j’ai modifier le port ssh, changer mes mots de passe, interdit la connexion en root sur le ssh et enfin modifier mes iptables pour limiter le nombres de connexion par heure et ainsi gener les attaques par brute-force.
Mais comment savoir ce qu’on pu faire les programmes executés ?
Merci du coup de main
Tiki
Modération de BatteMan : Sujet déplacé dans le bar. Le forum « Émulation et autres OS » concerne en effet l’émulation des Amiga sur d’autres machines et l’installation des autres OS sur Amiga.
Maintenant que tu as effacé les programmes installés ca va etre plus compliqué
Mais bon regardes déjà si le gars ne s’est pas créé un compte…
Regardes tes crontabs s’il n’y a pas eu de programmes ajoutés.
Tu peux regardes egalement les logs dans /var/logs
Sinon regardes les fichiers modifiés le jour ou tu as été attaqué :
commande « find » j’ai plus la synthaxe exacte.
Sinon si tu n’as rien de particulier sur ton system, tu peux toujours passer a Ubuntu 9
SixK
Une fois que tu as été rootkitté, la solution la plus sûre est la réinstallation. Ces rootkits peuvent en mettre vraiment partout en remplaçant des outils système anodins, et nettoyer tout ça est franchement pénible.
Tu peux toujours uploader ces programmes qq part, il y a peut être moyen d’identifier ce qu’ils font.
Mod Fab1 a écrit :
Une fois que tu as été rootkitté, la solution la plus sûre est la réinstallation. Ces rootkits peuvent en mettre vraiment partout en remplaçant des outils système anodins, et nettoyer tout ça est franchement pénible.
Tu peux toujours uploader ces programmes qq part, il y a peut être moyen d’identifier ce qu’ils font.
Je plussoie fab1. Sécurité compromise -> format puis réinstallation à blanc.
Pour l’upload, il doit y avoir des white hat qui seront ptet intéressé par ton aventure.
++
ok merci. J’ai l’air bon pour une reinstallation complète alors.
Si ca interresse quelqu’un je peux envoyer l’archive, le » auth.log » ainsi que les commandes tapées en console.
Autre question, mon disque système est distinct du disque /home. Est-il neccessaire que je formate aussi le /home ?
Ma crontab ne comporte que cette ligne : * * * * * /home/vincent/tmp/update >/dev/null 2>&1
Et en fait, plus je fouille et plus c’est passionant. Un scan avec nmap ne me rapporte aucun autre ports ouverts que ceux que je connais deja, et rkhunter ne trouve en alerte que des repertoires cachés dans /dev ( .initramfs, .udev et .static )
Et merci à tous
Tiki
Salut,
Sur le forum SandboxTeam nous avons ce probléme aussi , d’attaque récurente sur le port SSH.
De plus l’utilisation du SCP ( copie de fichier par tunnel SSH ) est plus simple, elle ne requiert aucun serveur FTP ni service ajouté.
Premiérement ca pollue les logs… et secondo si le mot de passe est ‘Humain’ les brutes forces finiront pas ouvrir l’accés.
Dés lors , une solution viable est de limité les connections SSH dans le temps.
Exemple n’autoriser que deux/trois connections SSH sur ce même port.
Ce réglage peut se faire par les régles de firewall ( iptables ) ou Shorewall si tu l’utilises…
Alors on va creer 3 connections sur 2 minutes
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 120 --hitcount 4 --rttl
--name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 120
--hitcount 4 --rttl --name SSH -j DROP
Ensuite une régle de listeblance pour tout les hots autorisé par défaut
iptables -N SSH_WHITELIST
On accépte les users qui sont dans la liste blanche
iptables -A SSH_WHITELIST -s TRUSTED_HOST_IP -m recent --remove --name SSH -j ACCEPT
Ensuite on block les vilains qui n’ont rien à faire la…
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update
--seconds 120 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update
--seconds 120 --hitcount 4 --rttl --name SSH -j DROP
Pour Shorewall c’est encore plus facile à modifer dans le /etc/shorewall/rules
Ici j’autorise 8 connections par minute , tu peux le diminuer selon tes besoins….
#
# Accept SSH connections from the local network for administration
# On Inet Rate limited to 8 connections /minute to kill bruteforce
SSH/ACCEPT loc $FW
SSH/ACCEPT net $FW - - - - 8/min:1 -
A+
...::: Mist - Mister FPGA - FPGA Arcade 060 - ZxUno :::...
...::: A500- A600/Gothek - Amiga 1230 Gotek CF 16GB - A3000 - A4000/30/64Mb/Vlab1.3/Oktagon :::...
...::: Vampire V4 SA :::...
...::: Zx 48/128+2/128+3/QL - Dragon32 - Atari 520STF/1040 :::...
...::: C64 + 1541 / C64 :::... Ouah c’est bien complet pour les iptables. Je ne sais pas si je serais capable d’appliquer tout cela. Sinon, ben ca y est, je suis bien rootkité. J’ai installé un firewall ( firestater ) qui m’apprends que ma machine se connecte automatiquement en utilisant Ircd ( l’irc quoi ) sur le port 6667 et 6661. J’ai bien sur bloqué ces ports, mais de fait je n’ai plus d’irc. Apparement c’est un script bash. Il faudrait que j’arrive à me debarrasser de ce script qui se lance au démarrage et je pense que je probleme serait reglé.
Tiki
9 sujets de 1 à 9 (sur un total de 9)
- Vous devez être connecté pour répondre à ce sujet.
› Forums › Communauté › Le Bar › Piratage sous linux
