Question sécurité et rootkit

Pause Café
#1

Je suis en pleine redécouverte d’un pan entier de Linux délaissé pour ma part depuis déjà quelques temps.

J’ai entamé la réinstallation au propre d’une wheezy depuis l’image disponible sur le site avec l’installeur en RC1 (d’ailleurs aucun souci durant l’installation sur hyperV :stuck_out_tongue: ).
J’ai commencé par mettre ne place les principales modification habituelle vu que la machine est vierge :

  • déplacer le port SSH ( en ce moment ça scanne à tout va fort sur mon slash IP)
  • mise en place d’un fail2ban en attendant mon passage en IPV6
  • préparation de portsentry ( mais j’ai le temps pour ça)

Il me reste à préparé un ‘honeypot’ dans un serveur virtuel ( ou un container je sais pas trop encore ) pour finir mon petit laboratoire.

J’ai encore quelques choix à faire et l’un se pose sur un utilitaire que je ne mets plus en pratique depuis un certains temps c’est la détection de rootkit par habitude de déployer systématiquement la même base :confused:
J’ai bien envie de revoir un peut justement cette fameuse base et en profiter pour sécuriser mon serveur qui hébergera ce petit laboratoire.

A l’heure actuelle je ne vois que peu de différence entre RKhunter et CHKrootkit.

En connaissez vous d’autres, les utilisez-vous conjointement ?

Enfin bref avez vous des précisions à apporter, dans mes derniers souvenirs j’utilisais CHKrootkit couplé à une tâche CRON (mais c’était il y a quelques temps déjà :083 ).

Dès que j’aurais avancé sur le sujet je vous tiendrez au jus du résultat et vous ferais part des trouvailles.

Mais pour l’instant j’ai surtout besoin de sécuriser le serveur sur lequel mon attirail va tourner et ça je suis manifestement rouillé suite à ma dernière nuit de recherches à tous va :mrgreen:

PS : j’ai pas trop envie pour l’instant de me diriger vers les quelques forums spécialisé là-dedans tant que j’aurais pas remis certaines bases à jour de mon côté :whistle:

#2

Salut,
J’utilise Rkhunter et chkrootkit conjointement.
J’utilise surveillance (Dépôt Boisson). Je crois que Tripwire fais la même chose, mais avec des options plus avancées (degré de “criticité”…).
Et j’utilise aussi Aide qui est pas mal.

#3

Pour ma part, en ce moment, rkhunter et samhain.

Je me demande si rkhunter/chkrootkit sont bien utiles.

J’ai essayé Tripwire, dans sa configuration par défaut, ça génère des logs très gros.

on en parle un peu ici : ids-lequel-choisir-t42471.html

#4

ça scanne de vraiment partout, j’ai jamais vus ça , a base de plus de 4000 vus sur une page d’un site web e-commerce dont je m’occupe, as tu a faire aussi a des ip avec comme point de depart de pays “inconnu” ???

#5

ça scanne de vraiment partout, j’ai jamais vus ça , a base de plus de 4000 vus sur une page d’un site web e-commerce dont je m’occupe, as tu a faire aussi a des ip avec comme point de depart de pays “inconnu” ???[/quote]

Tu le vois avec quel outil que le pays est inconnu?
Si c’est dans tes stats avec awstats ou webalizer, il pourrait être utile de mettre à jour la BDD geoip (si tu l’utilises).

#6

Je n’ai pas chercher à remonté les IP mais à première vue les attaques viennent de pays à la con genre pays d’asie (malaisie en tête et de loin) et du type à finir en ‘stan’ :005

mais bon ce sont les dernière IP visible donc celles des machines infecter :005

#7

ça scanne de vraiment partout, j’ai jamais vus ça , a base de plus de 4000 vus sur une page d’un site web e-commerce dont je m’occupe, as tu a faire aussi a des ip avec comme point de depart de pays “inconnu” ???[/quote]

Tu le vois avec quel outil que le pays est inconnu?
Si c’est dans tes stats avec awstats ou webalizer, il pourrait être utile de mettre à jour la BDD geoip (si tu l’utilises).[/quote]

ok, c’est parti mon kiki ils vont flipper looool

#8

Tiens en parlant de ça j’ai mis en place le module GeoIP2 pour Apache2 sur mon www perso, et je n’autorise que les IP dont le pays est “FR”, c’est plus rapide que de blacklister tous les pays de merde :033