Rkhunter warning

bonjour a tous ,

aujourd’hui je fait un petit chkrootkit et stupefaction il me renvois un warning

Checking `lkm'...You have     1 process hidden for readdir command
chkproc: Warning: Possible LKM Trojan installed

j’ai penser a un faux positif …

et puis j’ai preferer passer par rkhunter et la on me confirme

/usr/sbin/unhide                                [ Warning ]
/usr/sbin/unhide-linux26                    [ Warning ]
Checking for enabled inetd services     [ Warning ]

Checking for local host name                             [ Found ]
Checking for system startup files                        [ Found ]

Checking for passwd file                                    [ Found ]

Checking for SSH configuration file                      [ Found ]

Checking if SSH root access is allowed                  [ Warning ]
Checking if SSH protocol v1 is allowed                   [ Warning ]
Checking for running syslog daemon                     [ Warning ]
Checking for syslog configuration file                     [ Found ]

Checking for hidden files and directories                [ Warning ]

pouvez-vous m’aider , c’est la premiere fois et je ne sais pas quoi faire pour regler cela !!

Commence par déconnecter la machine du net avant de travailler dessus, mais à priori, sauve les données et la config d’etc, et réinstalles.

[color=#0000FF]merci , pourrais tu m’eclairer sur la manip a faire , c’est la premiere fois que je vais devoir faire cela , merci infiniment

parle-tu de tout reinstaller ??
[/color]

Je supose que oui.

note suprime: lsof
et réinstalle le.

ensuite fait un lsof -i -P
pour voir ce qui tourne (enfin si c’est encore possible)

Avais tu bien mis un passwd correct pour root?

[color=#0000FF]merci ,

ce que j’ai fait ,

arreter le ssh avec invoke : ok

mise a jour de ssh + openssh-client+server : ok

desinstall de lsof : ok

reinstall lsof : ok

fait un lsof -i -P : ok > qui ne me retourne rien

ha oui , j’ai fail to bann d’installer

et pour le mot de pass : oui de tres tres bon mot de passe assez dur a trouver genre 30 lettres+chiffres minimum
[/color]

EDIT : j’ai le log de rkhunter si ca peux aider :

18:22:16]   Checking for enabled inetd services             [ Warning ]
[18:22:16] Warning: Found enabled inetd service: ftp
[18:22:17] Warning: Found enabled inetd service: amandaidx
[18:22:17] Warning: Found enabled inetd service: amidxtape
[18:22:17] Warning: Found enabled inetd service: amanda



[18:22:38]   Checking if SSH root access is allowed          [ Warning ]
[18:22:38]   Warning: The SSH and rkhunter configuration options should be the same:
[18:22:38]          SSH configuration option 'PermitRootLogin': yes
[18:22:38]          Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
[18:22:38]   Checking if SSH protocol v1 is allowed          [ Warning ]
[18:22:38]    Warning: SSH protocol version 1 has been enabled in the SSH configuration file (/etc/ssh/sshd_config).
[18:22:39]   Checking for running syslog daemon              [ Warning ]
[18:22:39]   Warning: The syslog daemon is not running.

[18:22:39] Performing filesystem checks
[18:22:39] Info: Starting test name 'filesystem'
[18:22:39] Info: SCAN_MODE_DEV set to 'THOROUGH'
[18:22:40]   Checking /dev for suspicious file types         [ None found ]
[18:23:26]   Checking for hidden files and directories       [ Warning ]
[18:23:26] Warning: Hidden directory found: /etc/.java
[18:23:26] Warning: Hidden directory found: /dev/.udev
[18:23:26] Warning: Hidden directory found: /dev/.static
[18:23:26] Warning: Hidden directory found: /dev/.static/dev/.udev
[18:23:26] Warning: Hidden directory found: /dev/.initramfs
[18:23:26] Warning: Hidden file found: /usr/share/man/man8/.isdnctrl_conf.8.gz: gzip compressed data, was ".isdnctrl_conf.8", from Unix, last modified: Tue Feb 27 18:55:55 2007, max compression

Si tu veux nettoyer ta machine, déjà, il faut le faire soit avec la machine déconnectée, soit depuis un livecd.
Mais ce que je disais, c’est bien de réinstaller: une machine compromise est compromise et on ne peut plus lui faire confiance. Le rootkit a peut être déjà été utilisé et il y a peut être des outils autres que le rootkit lui même installé par l’attaquant, c’est trop dûr à vérifier.

Pourquoi tu écris dans une couleur pâle et fatiguante à lire ?

ta machine est compremise lsof devrai te renvoiyer quelque chose.

lsof -i -P
COMMAND     PID USER   FD   TYPE DEVICE SIZE NODE NAME
g15stats   3059  vv    3u  IPv4   8613       TCP localhost:38066->localhost:15550 (ESTABLISHED)
firefox-b 11191  vv   42u  IPv4  43055       TCP gg.lan:35818->mu-in-f100.google.com:80 (ESTABLISHED)
firefox-b 11191  vv   61u  IPv4  42936       TCP gg.lan:60789->uni31-3-88-165-116-107.fbx.proxad.net:80 (CLOSE_WAIT)
firefox-b 11191  vv   66u  IPv4  42937       TCP gg.lan:60790->uni31-3-88-165-116-107.fbx.proxad.net:80 (CLOSE_WAIT)
firefox-b 11191  vv   67u  IPv4  42938       TCP gg.lan:60791->uni31-3-88-165-116-107.fbx.proxad.net:80 (CLOSE_WAIT)
firefox-b 11191  vv   68u  IPv4  42939       TCP gg.lan:60792->uni31-3-88-165-116-107.fbx.proxad.net:80 (CLOSE_WAIT)
firefox-b 11191  vv   69u  IPv4  42940       TCP gg.lan:60793->uni31-3-88-165-116-107.fbx.proxad.net:80 (CLOSE_WAIT)
firefox-b 11191  vv   70u  IPv4  42941       TCP gg.lan:60794->uni31-3-88-165-116-107.fbx.proxad.net:80 (CLOSE_WAIT)

sauvgarde tes donnée, il y a un topic dans truc et astuce. et ré-install comme la dit mattotop.

… et M*rde …

j’ai demander une analyse sur un forum black and white hat , il sont en train d’analyser le log d’rkhunter , juste une reponse assez etonante m’a ete donner pour ce debut d’analyse :

avant de tout reinstaller ,j’aimerais quand meme comprendre , on ma toujours dit que linux pouvais etre reparer sans refaire un installation , c’est peut etre compliquer remarque !?! n’y a t il pas une appli qui pourrais m’en dire d’avantage et savoir ou sont installer ce rootkit ?

avec quel outil puis je connaitre les historiques d’intrusions (si il y en a),

un “netstat -laputun” me montre qu’il ny a personne , un "who -q"pareil …

Question : si je desinstalle tout ssh que je fasse un dist-upgrade , cela effacerais t i l le root kit ?? c 'est comme une reinstallation !!?!??

je sais beaucoups de questions mais c’est pour apprendre , je veux bien votre avis theorique et pratique

sinon je vais commencer a faire les petite sauvegarde , y’a rien de vraiment important sur ce pc
a part des adresses et quelques photos , j’avais deja fait du gros menages de printemps

cela date de quelques jour seulement , depuis que je fais les configs du forum crasher

pour le moment je me suis remis sur GoblinX

merci

comprendre, ben il y a euh une fail de secu, pour la trouver c’est de loin facile. surtout que les logiciel sur ton pc son tous infecter (ou du moin potentiellement) de manire a ce que chaqu’un ne montre qu’il n’y a rien.

tu peux réparer,celon moi une machine compromise l’est pour moi définitivement. et puis sous linux sa prend 30 minute pour ré-installer

on ne sais pas ta configure ,ni si elle était a jours et si les paquets venai de la sid etc, car seul la stable est vérifiée pas l’équipe de securiter.

donc voila tu peux aussi faire une image du disque avec tar ou autre pour essayer par la suite d’y voir claire mai bon…

re

merci pour les complements theoriques

c 'est bien celui-ci le lien dont tu me parlais ?

remettre une machine a zero :
viewtopic.php?f=8&t=19511

C’est toujours décevant d’apprendre qu’un système GNU/Linux s’est fait pirater…

tu m’etonne mais le probleme c’est de savoir pourquoi et par ou il est passer ,la apparement c’est via tunnel ssh et au final je connais qu’une personne qui avait ma derniere IP…

EDIT : heu… je viens de securisée ma becane grace a un ancien bouquin de the hackademy pour voir
puis :

re chkrootkit: rien, lkm : impecc nothing found
re rkhunter : et rien… comprends pas la !!!

je les ai pas interresser ?

ca viendrais pas du faite qu je prete ma connexion wifi ??? (edit:non car c’est une scan attack via ssh)

EDIT 2 : j’ai la reponse de la communauté black and white hat :

Simple : retire la possibilité de se connecter en root via SSH (très déconseillé); ou désactive le service SSH, tout simplement.

quel gros nul je suis je refais des test plus tard et je vous tiendrais au courant

bien tout rentre dans l’ordre est mortel ce rkhunter beaucoups mieux que chkrootkit

pour clore le sujet je fini l’analyse

Warning: Hidden file found: /usr/share/man/man8/.isdnctrl_conf.8.gz: gzip compressed data, was ".isdnctrl_conf.8", from Unix, last modified: Tue Feb 27 18:55:55 2007

ceci signifie que je n’ai jamais fait de dist-upgrade de mon systeme , j’attends encore un peu que tout soit parfait pour le passage a Kde 4.2.2 voir 4.2.3

Avant de tout réinstaller, si tu peux fais une image disque de ta partition, ensuite dans l’absolu, tu peux soit essayer d’étuider tranquillement ta machine pour voir comment elle est compromise, tu apprendras beaucoup de choses, prévois en gros une semaine. Il te faut bouter sur un CD sur, vérifier les md5 des fichiers par rapport aux md5sum des paquets debian, chercher les processus cacher et les identifier (penses à cacheproc ou à unhide pour les trouver). Puis commences à essayer de récupérer des logs effacés par le pirate (un bête string sur la partition racine devrait te donner des choses). La réinstallation est la solution la plus rapide mais pas forcément la seule si tu t’y prends avec soin et si ton serveur est essentiel ou non. Tu peux apprendre beaucoup en étudiant ta machine, penses-y.

Je te suggères de lire ce fil qui retrace ma mésaventure, je n’avais pas réinstallé le serveur à l’époque (http://www.mail-archive.com/debian-user-french@lists.debian.org/msg67118.html ou http://lists.debian.org/debian-user-french/2003/12/msg01134.html), j’avais en fait reconstitué une machine saine sur un disque séparé et écrasé la partition compromise puis j’avais travailler sur l’image disque de la machine compromise.

salut fran , merci , je vais voir les liens, je viens de decouvrir qu’a part ssh c’etait apache2 qui etait probablement le fautif aussi … pour le moment c a base de invoke/…stop au demarrage
maintenant quand j’entends des cliketi sur le disque dur , c 'est moi qui est en warning !!!