[Woody] Ma passerelle qui ne fonctionne plus newb inside !


#1

Bonjour !
D’abord les présentations, Je m’appelle Stéphane je travaille dans un lycée à Toulouse, et un de vos collègue Laurent alias Ed (pour ne pas le nommer ) m’a conseillé votre site pour trouver de l’aide sur les distrib debian.
Et il se trouve que j’ai énormémment de problème a faire fonctionner (tout du moins depuis ce matin) ma passerelle qui est sous woody.

Voila le problème tout allait bien dans le meilleur des monde jusqu’a hier soir ou j’ai éteind ma passerelle. Quand je l’ai rallumé ce matin mon boot était agrémenté un petit peu partout de eth0 : Promiscuous mode enabled !
Le boot devenant très difficile bloqué parfois en init 3.

On m’a conseillé de faire un chkrootkit, ce que j’ai fait et apparement inetdconf est INFECTED (les boules) donc voila :

/etc/inetd.conf: see inetd(8) for further informations.

Internet server configuration database

Lines starting with “#:label:” or “##” should not

be changed unless you know what you are doing!

If you want to disable an entry so it isn’t touched during

package updates just comment it out with a single ‘#’ character.

Packages should modify this file by using update-inetd(8)

<service_name> <sock_type> <server_path>

#:INTERNAL: Internal services
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
time stream tcp nowait root internal
#time dgram udp wait root internal

#:STANDARD: These are standard services.
ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd
telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd

#:BSD: Shell, login, exec and talk are BSD protocols.
talk dgram udp wait nobody.tty /usr/sbin/in.talkd in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd in.ntalkd

#:MAIL: Mail, news and uucp services.
smtp stream tcp nowait mail /usr/sbin/exim exim -bs
nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode

#:INFO: Info services
ident stream tcp wait identd /usr/sbin/identd identd
finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd

#:boot: Tftp service is provided primarily for booting. Most sites

run this only on machines acting as “boot servers.”

#:RPC: RPC based services

#:HAM-RADIO: amateur-radio services

#:OTHER: Other services
xtel stream tcp nowait root /usr/sbin/tcpd /usr/sbin/xteld
vboxd stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vboxd
## netbios-ns dgram udp wait root /usr/sbin/tcpd /usr/sbin/nmbd -a
## netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd
## swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat

je sais pas trop quoi faire donc si quelqu’un pouvais me donner un petit coup de main ca serait bien cool !!!

Encore merci et a+


#2

Je n’arrive pas à reproduire ton message qu’avec ton fichier de conf.
Que donne :


#3

Quand je fais chkrootkit -d inetdconf j’ai une liste de truc que je n’arrive pas agrementé de quelque eth0 : Promiscuous mode enable toutes les 5,6 lignes. et a la fin un joli echo INFECTED


#4

bon tant pis je vais faire un beau reset sur mes partoches

a la zindozs !!!


#5

[quote]Quand je fais chkrootkit -d inetdconf j’ai une liste de truc que je n’arrive pas agrementé[/quote] Si tu nous envoies cette liste, cela nous permettra de deviner pourquoi il en déduit que ton systême est infecté

[quote]eth0 : Promiscuous mode enable[/quote] As-tu un sniffer (style tcpdump) ou vmware qui tourne sur ton serveur ?


#6

En fait je n’arrive pas a rediriger la sortie de chkrootkit et ca fait au moins une trentaine de page. De plus ca bloque a moment donnée et je suis obligé de faire des CTRL+C pour pouvoir avancé dans la liste.

de plus mème quand je fais un ls j’ai un :

eth0 : Promiscuous mode enabled.

pendant le boot je dois en avoir une bonne cinquantaine

J’ai de plus en plus de mal a booter par exemple la je suis bloquer durant le boot avec un message Recovering nvi editor sessions… done.

Il doit essayer de faire un truc je sais pas trop quoi bref… c’est galère


#7

Je crains que ta réponse ne soit simple: tu t’es fait rooter avec un module kernel. Un comportement qui active le mode promisc toutes les commandes ca sent le module kernel qui s’accroche sur des appels système et execute ses vilaines choses. Vérifie le contenu de /etc/modules.conf, ce que renvoit lsmod (mais si le module est intelligent il s’est caché).

Mais malheureusement, si le noyau est compromis, le seul moyen de s’assurer a 100% qu’il n’y a plus rien, c’est de tout réinstaller de zéro… Et d’installer grsec avec des ACL et snort la prochaine fois, pour éviter que ca se reproduise :stuck_out_tongue:

Dave, qui n’aimerait pas se manger un rootkit LKM


#8

Je me suis fait rooter :open_mouth: . Bon maintenant je peux plus rien vérifier, car j’ai tout réinstallé. J’avais de plus en plus de mal à booter… Bon maintenant que je suis repartis de zero. Je voudrais comprendre et faire les choses dans le bonne ordre pour que ce genre d’exérience ne se reproduise plus.

Donc voila :

1… Réinstal ok c’est bon.
2… Mise en place des regles iptables
3… Installation de mon modem et de la connection adsl
4… Mise a jour de la woody

Voila j’oublie un truc?

grsec,snort connait pas mais je vais me renseigner.

Bon sur ce A+

Steph, qui aimerait ne plus se manger un rootkit truc :wink:


#9

Premier truc: mettre a jour régulièrement la machine (au pire, écris un script qui apt-get update automatiquement et te maile s’il y a du nouveau).

Ensuite, installer un patch kernel pour la sécurité. Donc ici, deux choix: soit grsec, un bon choix “par défaut”, a installer sur n’importe quelle machine puisqu’il sécurise énormément celle ci sans qu’il n’y aie besoin de beaucoup de temps pour l’installer.
Soit tu es vraiment un paranoiaque au dernier degré, et tu installe LIDS (Linux Intrusion Detection System). Alors celui la, tu passeras des heures a maitriser sa configuration (surtout au niveau des autorisations d’accès), mais une fois bien configuré, ton linux a un intérieur digne de fort Knox.

Ensuite, une fois l’intérieur sécurisé, il faut mettre en place les réseaux de détection d’intrusion. En tant que NIDS (Network IDS), soit Snort soir Prelude, qui lanceront l’alerte lorsqu’une attaque est tentée depuis l’exterieur (LIDS se chargera de la remontée d’alerte a l’interieur).

Enfin, tout le blindage du monde ne sert a rien si tu laisses trop d’accès aux utilisateurs. C’est ton routeur, tu es seul maitre a bord, personne d’autre n’a le droit d’admin (sauf quelqu’un qui est physiquement a portée de batte de baseball, ca peut a la limite se concevoir). Mets en place une rotation hebdomadaire ou mensuelle du password root et du password LIDS. Arrête tous les services inutiles. Firewalle sur l’intranet comme sur l’internet. Ne laisse rien filer.

Voila, c’est le Tao du BOFH :slightly_smiling:
Dave, aspirant BOFH


#10

Marrant … il m’est arrivé la même chose il y a deux semaines … :angry:
ADSL + Wanadoo je crois qu’il test les OS ! deux woody c’est pas un hasard !

Je m’en suis rendu compte à peu près immediatement … La commande ps
était en vrac sans raison, netstat égallement … donc réinstalle du systeme…
je vais me mettre à grsec et snort histoire d’être plus tranquille et éviter que cela
se reproduise, j’aime pas trop qu’on se balade sur ma becane sans ma permission :imp:
Si je chope son IP y aura retour de baton ! :smiling_imp:

OS


#11

voila un bon script pour recevoir les updates par mail


$ apt-cache show debian-updates
Package: debian-updates
Status: install ok installed
Priority: optional
Section: utils
Installed-Size: 92
Maintainer: Steve Kemp skx@tardis.ed.ac.uk
Version: 1.3-3
Depends: debconf, libcompress-zlib-perl, libwww-perl
Conffiles:
/etc/cron.daily/debian-updates b8d6bb151f1b524427e2dabe8012195b
/etc/debian-updates.conf d2e9d16ab564b30ed1426cdde4ad9e4a
Description: Keep track of relevent stable security updates
This is a simple script which is designed to keep a system administrator
updated when relevent security advisories are released.
.
It will download the list of the latest security updates from the main
security.debian.org website, if a locally installed package is vulnerable
an email will be sent to a configurable address, or the details will be
dumped to the console.


#12

Il est peu être utile de préciser que ce paquet ne se trouve pas dans les dépots debian officiels.
Pour plus d’infos : http://www.steve.org.uk/apt/


#13

[quote=“dido”]Il est peu être utile de préciser que ce paquet ne se trouve pas dans les dépots debian officiels.
Pour plus d’infos : http://www.steve.org.uk/apt/[/quote]

vi ta bien raison, pas pensé :slightly_smiling:

merci


#14

ldsteph: Coucou ! vu je travaillais beaucoup sur le site, j’ai pas trop eu lte temps de regarder le forum :astonished:)

Voila maintenant que tu m’a dit que tu as posté hihihi je reply :slightly_smiling:

Oué moi je préconise comme Dave, installer grsec qui te sécurise ton systeme contre des appels au bug ptrace, ou encore de sortir d’un chroo() en 2 lignes de C…

Donc, comme je t’ai dit tout a l’heure, pas besoin de configurer les ACL pour avoir déja une bien meilleure sécuritée par défaut, mais un linuxien qui ne personalise pas son systeme, est-ce bien un linuxien ? :astonished:)

Sinon pour avoir de l’aide un peu plus rapide, il vaut mieux venir sur #debian-fr@IRCNet (IRC, donc), et la sur le chan ou en query, je pourrais certainement aider mieux…

(oué en fait, j’ai perdu l’habitude de dialoguer a coups de grandes phrases comme sur un forum :astonished:)


#15

Bonjour vous tous :slight_smile:
Je me demandais si, puisque confronté à un LKM, donc module monté “à la volée” par le rootkit; si ce serait pas une bonne idée de configurer le noyau avec ses modules en dur et désactiver la fonction “kernel module loader”, me semble avoir vu de tels propos dans des docs de sécurité concernant les LKM justement… et puisque c’est une passerelle, point sensible, ça devrait pas poser de probleme de pas pouvoir monter les modules à la main…
Voilà, c’est juste un premier post pour dire bonjour et pour avoir votre avis sur le sujet (suis pas un train bon connaisseur du système non plus :wink:
A+


#16

[quote=“ed”]ldsteph: Coucou ! vu je travaillais beaucoup sur le site, j’ai pas trop eu lte temps de regarder le forum :astonished:)

Voila maintenant que tu m’a dit que tu as posté hihihi je reply :slightly_smiling:

Oué moi je préconise comme Dave, installer grsec qui te sécurise ton systeme contre des appels au bug ptrace, ou encore de sortir d’un chroo() en 2 lignes de C…

Donc, comme je t’ai dit tout a l’heure, pas besoin de configurer les ACL pour avoir déja une bien meilleure sécuritée par défaut, mais un linuxien qui ne personalise pas son systeme, est-ce bien un linuxien ? :astonished:)

Sinon pour avoir de l’aide un peu plus rapide, il vaut mieux venir sur #debian-fr@IRCNet (IRC, donc), et la sur le chan ou en query, je pourrais certainement aider mieux…

(oué en fait, j’ai perdu l’habitude de dialoguer a coups de grandes phrases comme sur un forum :astonished:)[/quote]

Salut !

Bon je suis en train de faire ce que vous m’avez conseillé, recompil du nouveau kernel (en ce moment) avec grsec, ensuite j’installerai snort et je brancherai ma passerelle sur le net.

Pour les ACL a termes je les configurerai mais bon j’ai survolé la doc du site (grsecurity.org ou net) et ca parait assez long (j’aimerai bien que ma passerelle soit operationnel un assez vite quand même.

Je passerai sur le # un de ces quatres mais juste si je suis vraiment bloqué. Pour le moment ca se passe assez bien.

Voila sur ce a dem ou mercredi !


#17

j’pense a mercredi, vu que j’ai un peu de mal avec mon pc la j’ai pas pu encore faire la flonix modifiée :frowning:((

Sinon, pour le club d’info ca tient toujours ? :slightly_smiling:


#18

[quote=“tAd”]Bonjour vous tous :slightly_smiling:
Je me demandais si, puisque confronté à un LKM, donc module monté “à la volée” par le rootkit; si ce serait pas une bonne idée de configurer le noyau avec ses modules en dur et désactiver la fonction “kernel module loader”, me semble avoir vu de tels propos dans des docs de sécurité concernant les LKM justement… et puisque c’est une passerelle, point sensible, ça devrait pas poser de probleme de pas pouvoir monter les modules à la main…
Voilà, c’est juste un premier post pour dire bonjour et pour avoir votre avis sur le sujet (suis pas un train bon connaisseur du système non plus :wink:
A+[/quote]

Section Loadable Modules dans la configuration du noyau. Tu vires ca et hop plu de modules (c’est ce que je fais sur toute les box, exeptée mon desktop, qui requiert certain modules (webcam, …)