Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/07/2015, à 07:10

Compte supprimé

Sécurité, faux positifs … ? N'importe quoi !

Bonjour infophilosophique !

Ayant lu sur un forum Debian le sujet  "possible rootkit" pas sympa comme annonce
La solution proposée est :

Bref, faux positif, pour le faire taire (je ne le conseillerais pas, cependant) il suffit de...
Code:

# echo "RTKT_FILE_WHITELIST=/etc/init.d/hdparm /etc/init.d/.depend.boot" >> /etc/rkhunter.conf.local

Heureusement la personne qui répond écrit ne pas le conseiller !

Il y aurait de faux positifs, alors il faudrait les faire taire ?

Mais une fois que hdparm est en liste blanche, il suffirait d'attaquer et corrompre hdparm ? hdparm pourrait faire n'importe quoi puisqu'il serait "blanc" comme neige … (inspiré de white liste).

…
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/unhide.rb                                       [ Warning ]
    /usr/bin/gawk                                            [ OK ]
…
    /sbin/ifup                                               [ OK ]
    /sbin/init                                               [ Warning ]
    /sbin/insmod                                             [ OK ]
…
    /sbin/route                                              [ OK ]
    /sbin/runlevel                                           [ Warning ]
    /sbin/sulogin                                            [ OK ]
…

Il faudrait que je m'occupe de cet ordinateur problématique, mais peu de temps. Des courriers à faire.

Bonne journée.

Dernière modification par Compte supprimé (Le 23/07/2015, à 07:11)

#2 Le 31/07/2015, à 11:53

tiramiseb

Re : Sécurité, faux positifs … ? N'importe quoi !

Pour ma part je préfère associer ça à une vérification de checksum :
- une vérification de rootkit en "one-shot" pour voir que le système semble propre (chkrootkit, rkhunter...)
- un enregistrement des checksums des fichiers (fcheck...)
- une vérification régulière de checksums (fcheck...)
- et si un checksum a changé, un nouveau scan de rootkit pour vérifier (chkrootkit, rkhunter...)

Dernière modification par tiramiseb (Le 31/07/2015, à 11:59)

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#3 Le 31/07/2015, à 12:50

Compte supprimé

Re : Sécurité, faux positifs … ? N'importe quoi !

Merci tiramiseb,
cependant une question technique :
si un rootkit, ou VMBR accède au système, prennant la main sur tout ce qui se passe sur l'ordinateur.
Il est techniquement toujours possible comme il y a plus de 20 ans de détourner le système, de patcher les accès disques, blocs de démarrage (MBR, actualisé UEFI), et tout le système ainsi que tous les outils de tests ?
(déplacer le boot et mettre la vérole à la place, lancer le système comme machine virtualisée, et les accès disques sont détournables, les fonctions comme MD5, ou fcheck (que je ne connaissais pas …) sont modifiables et impossible d'en sortir s'en une machine saine à coté ?

Dans cette possibilité, connais-tu et peux-tu partager des noms de distributions Live-CD/DVD permettant d'analyser la machine suspecte (même si un moyen Live de permet pas de vérifier un BIOS vérolé qui dont la vérole veut se rendre furtive, démarant la machine, et se retrouvant avec les droits maximum sur la machine - principe des débogueurs systèmes reprenant le fonctionnement des Actions Replay d'il y a plus de 20 ans…

Bien sûr, nous sommes d'accord que ce n'est pas forcément le cas ici puisque rien que rkhunter signale des problèmes possiblement probables …

édit PS : l'Action Replay existe en disquette pour Amiga. Mais seule la technique portable sur PC m'intéresse.

Dernière modification par Compte supprimé (Le 31/07/2015, à 13:01)

#4 Le 31/07/2015, à 13:07

tiramiseb

Re : Sécurité, faux positifs … ? N'importe quoi !

Si quoi que ce soit prend la main sur un système, alors c'est mort. Ça a toujours été comme ça et ce sera toujours comme ça.
C'est pour ça qu'une supervision proactive est importante : être prévenu aussi vite que possible, avant que le malandrin n'ait pu effacer ses traces.

Des systèmes permettant d'analyser une machine suspecte, je n'en connais pas vraiment.
Il y a une liste là :
http://www.securitydistro.com/security-distros
... mais je ne saurais pas conseiller telle ou telle distro.

J'ai bien trop rarement à bosser sur ce genre de cas pour avoir des habitudes et des références :
- les machines que je gère n'ont jamais eu de problème (car application de principes sérieux de sécurité)
- les fois où j'ai eu à bosser sur des machines où il y avait des soupçons, le choix a été fait de tout réinstaller pour ne prendre aucun risque ; payer une prestation pour retrouver l'éventuelle source d'une éventuelle attaque n'a pas été souhaité

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#5 Le 31/07/2015, à 13:19

Compte supprimé

Re : Sécurité, faux positifs … ? N'importe quoi !

tiramiseb a écrit :

Si quoi que ce soit prend la main sur un système, alors c'est mort. Ça a toujours été comme ça et ce sera toujours comme ça.
C'est pour ça qu'une supervision proactive est importante : être prévenu aussi vite que possible, avant que le malandrin n'ait pu effacer ses traces.

Des systèmes permettant d'analyser une machine suspecte, je n'en connais pas vraiment.
Il y a une liste là :
http://www.securitydistro.com/security-distros
... mais je ne saurais pas conseiller telle ou telle distro.

J'ai bien trop rarement à bosser sur ce genre de cas pour avoir des habitudes et des références :
- les machines que je gère n'ont jamais eu de problème (car application de principes sérieux de sécurité)
- les fois où j'ai eu à bosser sur des machines où il y avait des soupçons, le choix a été fait de tout réinstaller pour ne prendre aucun risque ; payer une prestation pour retrouver l'éventuelle source d'une éventuelle attaque n'a pas été souhaité

Clair, net et précis.
Merci tiramiseb.

Oui, je dois réinstaller, remettre le BIOS qui s'autoflashe en démarrant sur le SSD… (je ferai une vidéo…) plus tard. Je compte bien récupérer ma prise PCIe 16x et refaire fonctionner dans cet ordinateur, une des 4 cartes graphiques, vérifiées dans un autre ordinateur. Remise à zéro du BIOS par le Dual-Bios, sans brancher le SSD, refaire fonctionner la carte vidéo PCIe 16x, rebrancher le SSD qui risque de reflasher le Bios… et perdre la vidéo PCIe 16x …

Merci également pour :

tiramiseb a écrit :


les fois où j'ai eu à bosser sur des machines où il y avait des soupçons, le choix a été fait de tout réinstaller pour ne prendre aucun risque ; payer une prestation pour retrouver l'éventuelle source d'une éventuelle attaque n'a pas été souhaité

et :
http://www.securitydistro.com/security-distros
et :

tiramiseb a écrit :

… une supervision proactive est importante : être prévenu aussi vite que possible, avant que le malandrin n'ait pu effacer ses traces.

Bonne journée wink

Pages : 1