Virus Trojan/Rootkit :FUCK: can't open

Isaric · Le 10/12/2005, à 09:59

J'ai installé dernièrement énigmail pour Thunderbird.

Maintenant, je demende la fermeture, et cela bloque !

A la demande d'arrêt, j'ai 
Le système est en train de s'arrêter, veuillez patienter...
Suck T version 1.3a, sep 26 2003
<http://sd.g-art.nl/sk>
(c)oded by sd.
<sd@cdi.cs.> & devik <devik@cdi.cs> 2002
RK_Init idt 0xc0317000, FUCK : DT table read faild (offset 0x0317000)

J'ai débranché l'ordi pour le rallumer.

Au démarrage, j'ai bloqué sur

Starting hotplug subsystem

Ou encore une autre fois sur

FUCK: can't open /dev/kmen for read/write (13)

Comment repartir !:mad:

Dernière modification par Isaric (Le 12/12/2005, à 08:56)

Isaric · Le 11/12/2005, à 08:59

J'ai trouvé cela
http://archives.neohapsis.com/archives/ … /0072.html

> I've put up the files for further analysis at:
> http://81.2.144.1/rootkit/

Looks like a modified version of suckit:
$ strings init | grep -i suckit
Suckit uninstalled sucesfully!

$ strings init | grep -i fuck
FUCK: Can't allocate raw socket (%d)
FUCK: Can't fork child (%d)
FUCK: Failed to uninstall (%d)
FUCK: Failed to hide pid %d (%d)
FUCK: Failed to unhide pid %d (%d)
FUCK: Can't open %s for read/write (%d)
FUCK: IDT table read failed (offset 0x%08x)
FUCK: Can't find sys_call_table[]
FUCK: Can't find kmalloc()!
FUCK: Can't read syscall %d addr
FUCK: Out of kernel memory!
FUCK: Got signal %d while manipulating kernel!

SuckIT ( http://hysteria.sk/sd/f/suckit ) was published in Phrack #58.
It doesn't depend on loadable kernel module support, works via
/dev/kmem...

"at" looks like imp:
"Imp is a denial of service tool which sends SYN floods. Some people
call this one slice3. Dynamically linked with libc5. By Sinkhole."
[from http://packetstormsecurity.nl/DoS/]

HTH,
  thorsten

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/jrzL0gf78WsIP8wRAl42AJ9XFlVBVqS/dfCVf9wTmNLDAOdaRACg/GxB
kMexmVCFXdZ1gNh2njacT7s=
=ewD1
-----END PGP SIGNATURE-----

Cela veut dire quoi ? et comment s'en dépatouiller ?

Isaric · Le 11/12/2005, à 09:44

Au démarrge on me dit sur une des lignes qui défile.
Cela passe très vite alors j'ai du mail à voir ce qui est écrit, y-a-t-il une touche qui permette de faire une pose pour noter la phrase qui défile ?
Il est noté

/etc/rcS.d/S55urandom ...line 22. [fail]

Fichier urandom :

#! /bin/sh
#
# urandom	This script saves the random seed between reboots.
#		It is called from the boot, halt and reboot scripts.
#
# Version:	@(#)urandom  2.85-14  31-Mar-2004  miquels@cistron.nl
#

[ -c /dev/urandom ] || exit 0

VERBOSE=yes
[ -f /etc/default/rcS ] && . /etc/default/rcS

POOLSIZE=512
if [ -f /proc/sys/kernel/random/poolsize ]
then
	POOLSIZE="`cat /proc/sys/kernel/random/poolsize`"
fi

. /lib/lsb/init-functions

case "$1" in
	start|"")
		log_begin_msg "Initializing random number generator..."
		# Load and then save $POOLSIZE (512) bytes,
		# which is the size of the entropy pool
		if [ -f /var/lib/urandom/random-seed ]
		then
			cat /var/lib/urandom/random-seed >/dev/urandom
		fi
		rm -f /var/lib/urandom/random-seed
		umask 077
		dd if=/dev/urandom of=/var/lib/urandom/random-seed \
			bs=$POOLSIZE count=1 >/dev/null 2>&1
		ES=$?
		umask 022
		log_end_msg $ES
		;;
	stop)
		# Carry a random seed from shut-down to start-up;
		# see documentation in linux/drivers/char/random.c
		log_begin_msg "Saving random seed..."
		umask 077
		dd if=/dev/urandom of=/var/lib/urandom/random-seed \
			bs=$POOLSIZE count=1 >/dev/null 2>&1
		log_end_msg $?
		;;
	*)
		log_success_msg "Usage: urandom {start|stop}"
		exit 1
		;;
esac

exit 0

Je réinstalle :

mozilla-thunderbird-enigmail et
gnupg

On me dit lors de la réinstrallation :

E: mozilla-thunderbird-enigmail: le sous-processus post-installation script a retourné une erreur de sortie d'état 139
E: mozilla-thunderbird-locale-fr: le sous-processus post-installation script a retourné une erreur de sortie d'état 139

Maintenant Thunderbird ne marche plus !

Que faire ?

Dernière modification par Isaric (Le 11/12/2005, à 10:10)

LaTheix · Le 11/12/2005, à 15:03

a priori, tu as un rootkit sur ta machine (un trojan)....

Je te conseille vivement de faire un "chkrootkit" le plus vite possible. Une réinstallation complète de ta machine ne saurait tarder :-(

Un exemple ici suite au message "FUCK: can't open /dev/kmen for read/write (13)"
->http://www.soohrt.org/stuff/linux/suckit/

jib · Le 11/12/2005, à 15:30

Un rootkit sous Ubuntu ???

Il ne l'a pas précisé, mais il est sur Windows XP, c'est sûr...

Isaric · Le 11/12/2005, à 16:16

root@acer:~ # strings /sbin/init | grep FUCK
FUCK: Can't allocate raw socket (%d)
FUCK: Can't fork child (%d)
FUCK: Failed to uninstall (%d)
FUCK: Failed to hide pid %d (%d)
FUCK: Failed to unhide pid %d (%d)
FUCK: Can't open %s for read/write (%d)
FUCK: IDT table read failed (offset 0x%08x)
FUCK: Can't find sys_call_table[]
FUCK: Can't find kmalloc()!
FUCK: Can't read syscall %d addr
FUCK: Out of kernel memory!
FUCK: Got signal %d while manipulating kernel!
root@acer:~ #

Que faut-il faire ?

Isaric · Le 11/12/2005, à 16:30

root@acer:~ # chkrootkit
ROOTDIR is `/'
/usr/sbin/chkrootkit: line 2387: 14883 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 14896 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 14929 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 14944 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 14962 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 14984 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15007 Segmentation fault      ${echo} "${1}\c"
/bin/sh
INFECTED
/usr/sbin/chkrootkit: line 2387: 15036 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15057 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15089 Segmentation fault      ${echo} "${1}\c"
INFECTED
/usr/sbin/chkrootkit: line 2387: 15119 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15140 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15172 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15192 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15209 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15223 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15251 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15275 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15297 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15324 Segmentation fault      ${echo} "${1}\c"
not tested
/usr/sbin/chkrootkit: line 2387: 15358 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15646 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15662 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15683 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15703 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15722 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15751 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15772 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15793 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15808 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15825 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15846 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15859 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15881 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15901 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15917 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 15934 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15952 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 15974 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16007 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 16023 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 16034 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16056 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 16070 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16111 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16131 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16157 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16198 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16218 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16240 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 16258 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 16272 Segmentation fault      ${echo} "${1}\c"
not found
/usr/sbin/chkrootkit: line 2387: 16286 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16307 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16331 Segmentation fault      ${echo} "${1}\c"
not infected
/usr/sbin/chkrootkit: line 2387: 16360 Segmentation fault      ${echo} "${1}\c"

Isaric · Le 11/12/2005, à 18:22

Suite à l'infection par Trojan ou Rootkit, j'ai réinstallé /

j'ai fait rkhunter --checkall

---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 0

Scanning took 47 seconds

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------
isaric@acer:~$

Comment vérifier /home
isaric@acer:~$ sudo chkrootkit -r /home
Mais cela ne vérifie pas les sous répertoires comme users...?
Mais pour ma partition fat32 ?

Dernière modification par Isaric (Le 12/12/2005, à 11:06)

LaTheix · Le 11/12/2005, à 20:16

jib a écrit :

Un rootkit sous Ubuntu ???
Il ne l'a pas précisé, mais il est sur Windows XP, c'est sûr...

Si tu avais pris le temps de lire le lien donné juste au-dessus de ton commentaire, tu verrais que l'auteur du document se débat pour désinfecter son serveur sous DEBIAN ....Croire que Linux est invulnérable est une pure utopie ! (alors sauveagrdez souvent vos données :-). Atitre d'exemple, le rootkit ici présent flingue un compte, altère des binaires (ls, chkrootkit, etc...) et j'en passe.

Les rootkits ne sont pas malheuresement réservés aux seuls détenteurs de l'OS de Redmond. Et la situation, dans un futur proche, n'ira pas en s'amenuisant pusique a priori l'extension des GNU/Linux et autres *BSD n'est plus à démontrer ....

Isaric> Aucun traitement ne peut à 100% garantir que tes disques soient réellement débarassé de l'intrus.
L'auteur du papier propose (et c'est généralement recommandé) une réinstallation complète (destruction/création de TOUTES les partitions(y compris celles des données type /home), installation du système, restauration des sauvegardes de données personnelles). Ce dernier point est critique, puisqu'il "pourrait" réinfecter ta machine.
Une analyse fine des journaux dans var/log pourrait donner une idée de la date d'infection, restaurer alors une sauvegarde antérieure à la date donnée. Seule cette manipulation colle au "plus près" pour retouver un système restauré et a priori sain ....

cep_ · Le 11/12/2005, à 22:47

Je ne comprends pas très bien.

Qu'est-ce qui confirme la présence d'un rootkit dans ce cas ?

Pourquoi ces "Segmentation fault" ?

Et un infected sur le lien /bin/sh ?

Isaric · Le 12/12/2005, à 09:07

isaric@acer:~$ sudo chkrootkit
ROOTDIR is `/'
... not found
...
Searching for suspicious files and dirs, it may take a while...
/usr/lib/realplay-10.0.6.776/share/default/.realplayerrc /lib/modules/2.6.12-10-386/volatile/.mounted
...
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient3[8473])
...
isaric@acer:~$

isaric@acer:~$ sudo rkhunter --checkall
...
* Filesystem checks
   Checking /dev for suspicious files...                      [ OK ]
   Scanning for hidden files...                               [ Warning! ]
---------------
 /dev/.static
/dev/.udevdb
/dev/.initramfs-tools /etc/.pwd.lock
---------------
Please inspect:  /dev/.static (directory)  /dev/.udevdb (directory)
...
* Application version scan
gpg: WARNING: unsafe ownership on configuration file `/home/isaric/.gnupg/gpg.conf'
   - GnuPG 1.4.1                                              [ OK ]

En aussi 
* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login... Watch out Root login possible. Possible risk!
    info: PermitRootLogin yes
    Hint: See logfile for more information about this issue
   Checking for allowed protocols...

...
Que veulent dire ces lignes au dessus ?

Dernière modification par Isaric (Le 12/12/2005, à 13:04)

guilhem · Le 12/12/2005, à 12:34

Surtout après réinstallation, n'oublie pas d'installer et de configurer correctement iptables...
L'avais-tu fait avant infection ?

Isaric · Le 12/12/2005, à 13:04

guilhem a écrit :

Surtout après réinstallation, n'oublie pas d'installer et de configurer correctement iptables...
L'avais-tu fait avant infection ?

Non et je ne sais pas du tout comment m'y prendre !

Isaric · Le 13/12/2005, à 09:50

Je souhaite utiliser iptables et installer suivant le tuto de
http://mysecureshell.sourceforge.net/fr … #question1
j'ai

iptables
Linux kernel 2.4+ iptables administration tools
et
ulogd
The Netfilter Userspace Logging Daemon

Je fais

isaric@acer:~$ uname -a kernel
Linux acer 2.6.12-10-386 #1 Fri Nov 18 11:51:02 UTC 2005 i686 GNU/Linux
isaric@acer

puis

isaric@acer:~$ sudo cat /boot/config-2.6.12-10 | grep -i recent
Password:
cat: /boot/config-2.6.12-10: Aucun fichier ou répertoire de ce type
isaric@acer:~$

A priori il me manque
"ipt_recent"

Où puis-je le trouver compilé ?

Dernière modification par Isaric (Le 13/12/2005, à 09:51)

guilhem · Le 13/12/2005, à 12:11

Euh en fait, il y a 2 solutions:
* soit tu configures IPTABLES via le package FIRESTARTER qui est un frontend de iptables
(http://wiki.ubuntu-fr.org/applications/firestarter)
* soit tu configures IPTABLES tout seul en créant un script que tu placeras dans ton /rc.d/...
(http://olivieraj.free.fr/fr/linux/information/firewall/)
Personnellement, je préfère la seconde solution car elle plus paramétrable mais nécessite davantage de connaissances réseau.
La première est un bon début.
Tu peux tester ta configuration sur le site de:
https://www.grc.com/x/ne.dll?bh0bkyd2

Bon courage !

Guilhem.

Isaric · Le 13/12/2005, à 12:34

Ce que je souhaite, dans un premier temps, c'est juste appliquer le Bloquage par le firewall de :
http://mysecureshell.sourceforge.net/fr … #question1

Dernière modification par Isaric (Le 13/12/2005, à 20:08)

guilhem · Le 13/12/2005, à 13:00

Bah si tu configures correctement ton iptables tu bloqueras tes intrusions !

arvin · Le 14/12/2005, à 00:42

Si t'es pas doué avec iptables, Robert C. Pectol met à ta disposition un très bon script sur son site http://rob.pectol.com/content/view/14/29/, facile à installer en plus
J'en parle ici http://forum.ubuntu-fr.org/viewtopic.php?id=18582

Dernière modification par arvin (Le 14/12/2005, à 00:45)

Isaric · Le 14/12/2005, à 09:03

Merci beaucoup

arvin a écrit :

Si t'es pas doué avec iptables

Pas tout de suite ... et peut-être jamais !

arvin a écrit :

J'en parle ici http://forum.ubuntu-fr.org/viewtopic.php?id=18582

La version que j'ai téléchargé en est à la 0.4.8 (ubuntu-firewall.tgz)
Y-a-t-il des modifications à faire à l'intérieure ? Faut-il utiliser plutôt ton script ?

Dernière modification par Isaric (Le 14/12/2005, à 09:29)

arvin · Le 14/12/2005, à 09:26

Il faut utiliser la vernière version.
La v.0.4.8 fonctionne très bien . J'ai fais un essai hier soir et ça a l'air concluant
Installes tout ça et base toi sur le fichier /etc/default/ubuntu-firewall-cfg que j'ai mis sur le post.
Je t'expliquerai après comment injecter les lignes de commandes "recent".
Je dois partir au travail. @+

Dernière modification par arvin (Le 14/12/2005, à 19:03)

Isaric · Le 14/12/2005, à 09:29

Merci encore

Isaric · Le 14/12/2005, à 13:29

Que faut-il rajouter ou modifier dans mon cas :
J'utilise au moins Gaim (avec IRC port:6667 MSN port:1863 Jabber port:5222), mozilla, mozilla thunderbird en IMAP port:143 smtp:25 et parfois du POP avec énigmail , MySecureShell port:22, gFTP pour me connecter à des sites distants port:21, Telnet parfois. L'ordi est pour l'instant le 192.168.0.1

sudo gedit /etc/default/ubuntu-firewall-cfg

############################################################################
#  ubuntu-firewall-cfg -  Configuration settings for the Ubuntu-firewall.  #
#  This config file should be placed within your /etc/default directory.   #
#  Version: 0.4.8							   #
############################################################################

###
#  Network Interfaces
###

#  Set the external interface.  This is the interface that will
#  face the Internet.  It's the one you want Ubuntu-firewall to
#  protect.  Typically it will be eth0 or eth1.  However, you
#  may choose to have Ubuntu-firewall automatically select the
#  * first * active interface it finds.  In this case, you would
#  use the key word, "auto" as in, EXTIF="auto".  This is usually
#  a good choice for users who have only one active network
#  interface on their machine.
#
#EXTIF="eth0"
EXTIF="auto"

#  Set the internal interface if you have one and want to be
#  able to pass local traffic over it.  If not, then don't
#  specify an interface inside the quotes.  Just leave it blank
#  as in INTIF="".
INTIF=""



##
#  Miscellaneous options set with, "yes" or, "no"
##

#  Arrête le firewall DISABLED="yes"
#  relancer sudo /etc/init.d/ubuntu-firewall.sh reload
DISABLED="no"

#  Firewall logging (useful for debug, curiousity, etc.  Logs to syslog)
LOG_ALL="no"

#  Verbose mode (feedback during script execution - useful for debug, etc.)
VERBOSE="yes"

#  Respond to ICMP (echo-request) pings
ALLOW_PINGS="yes"



###
#  Complex Server options set with, "yes" or, "no"
###

#  FTP server - Firewall requirements for an FTP Server are a little more
#  involved.  Thus, I've coded support for it directly into the Ubuntu-firewall
#  script.  It can be enabled/disabled here.
ALLOW_FTP="no"

#  Micro$oft Networking - Firewall requirements for Micro$oft Networking are
#  a little more involved.  Thus, I've coded support for it directly into the
#  Ubuntu-firewall script.  It can be enabled/disabled here.
ALLOW_MSNETWORKING="no"



###
#  Other services
###

#  List the TCP ports you want un-blocked by the firewall.
#  The ports need to be inside the quotes with a space between each one.
#  (ex: OPEN_TCP_PORTS="22 80 110")
#  This would un-block TCP ports 22 (ssh), 80 (http), and 110 (POP-3).
OPEN_TCP_PORTS="22"

#  List the UDP ports you want un-blocked by the firewall.
#  The ports need to be inside the quotes with a space between each one.
#  (ex: OPEN_UDP_PORTS="53")
#  This would un-block UDP port 53 (DNS Server services).
OPEN_UDP_PORTS=""



###
#  Advanced Options
###

#  Network Address Translation/Routing
#
#  This enables NAT Routing capabilities.  To use this feature, you must
#  specify the interface for NAT_IF, for which you want NAT services applied.
#  This MAY be the same as your internal interface (INTIF) as specified above.
#  ex:  NAT_IF="eth1"  (this will allow you to connect another PC to this PC's
#  eth1 interface for Internet Access on that PC)  To disable NAT, don't
#  specify an interface inside the quotes.  Just leave it blank as in NAT_IF="".
#
#  Bear in mind that the PC connected to this one will need to be set up on
#  the same network segment that this one's NAT_IF is on.  You will also need
#  to use the IP address assigned to the NAT_IF device, as that PC's default
#  gateway to the Internet.
NAT_IF=""

#  Forwarding of Ports
#
#  This allows you to forward ports to an internal host.  To use this feature,
#  simply specify an internal host to which you want to forward incoming
#  connections using the FORWARD_HOST directive.  Leaving it blank as in,
#  FORWARD_HOST="" will disable port forwarding.  Once you've specified a
#  host to which you want ports forwarded, you need to specify the ports.
#  This is done using the following two directives: FORWARD_TCP_PORTS
#  FORWARD_UDP_PORTS.  You may list multiple ports by separating them with
#  spaces.  For instance, if you wanted to forward incoming to TCP ports 22,
#  80, and 110, to an internal host with an IP address of 192.168.1.10, you
#  would use the following configuration:
#  FORWARD_HOST="192.168.1.10"
#  FORWARD_TCP_PORTS="22 80 110"
#  FORWARD_UDP_PORTS=""
FORWARD_HOST=""
FORWARD_TCP_PORTS="22"
FORWARD_UDP_PORTS=""

#  Custom Rules
#
#  This allows the user to define non-standard or custom rules to be added
#  to the firewall policy.  It is STRONGLY RECOMMENDED that you only make
#  use of this if you understand iptables hirarchy and firewall design in
#  general!  Carelessly inserting rules into Ubuntu-firewall can easily
#  render it ineffective.  You have been warned!  Now, with all that out
#  of the way, here's how to do it.  First, you need to create a file that
#  contains the appropriate iptables commands, making certain that you have
#  the syntax correct.  When making your custom rules, you should probably
#  test each of them, one-at-a-time at the command prompt to verify that they
#  work as expected.  You may define as many custom rules as you like but
#  remember, usually the simpler the firewall ruleset, the more robust it
#  tends to be.  Take special care to make sure that any rules you define,
#  don't sabotage other rules listed below it.  Once you have your file
#  populated with your custom rules, save it and set the CUSTOM_RULES directive
#  to point to your file. Ex: CUSTOM_RULES="/etc/default/custom_firewall_rules"
#  If you don't have any reason to use custom rules, then simply leave
#  CUSTOM_RULES blank as in, CUSTOM_RULES="".
CUSTOM_RULES="/etc/default/custom_firewall_rules"

sudo gedit /etc/default/custom_firewall_rules

#ip de confience
TRUSTED_HOST='127.0.0.1'
iptables -N SSH_WHITELIST
iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

Suis-je bien protégé ???

Dernière modification par Isaric (Le 15/12/2005, à 16:40)

Isaric · Le 16/12/2005, à 11:46

Que fait Clamav ? Ne peut-il pas analyser /home pour voir s'il reste des trace de Trojan.

J'ai actuellement

clamav
clamav-base
clamav-freshclam

Dernière modification par Isaric (Le 16/12/2005, à 11:50)

Isaric · Le 24/11/2006, à 16:02

Je suis maintenant sous EDGY est je tombe sur
virus Google
Je lance

sudo rkhunter --checkall
...
* Filesystem checks
   Checking /dev for suspicious files... -e                      [ OK ]
   Scanning for hidden files...-e                                [ Warning! ]
...
* Application version scan
   - Exim MTA 4.62 -e                                            [ Unknown ]
gpg: AVERTISSEMENT: le propriétaire du fichier de configuration `/home/isaric/.gnupg/gpg.conf'
est peu sûr
   - GnuPG 1.4.3 -e                                              [ Unknown ]
   - OpenSSL 0.9.8b -e                                           [ Unknown ]



sudo chkrootkit
...
Searching for rootedoor... nothing found
Searching for anomalies in shell history files... Warning: `//home/isaric/.civserver_history' file size is zero
nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[3211])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
isaric@acer:~$ 

isaric@acer:~$ sudo clamscan

----------- SCAN SUMMARY -----------
Known viruses: 78612
Engine version: 0.88.4
Scanned directories: 1
Scanned files: 28
Infected files: 0
Data scanned: 67.64 MB
Time: 30.514 sec (0 m 30 s)
isaric@acer:~$

remarque : swiftfox 32 (amd) passe par un proxy.free

Tout semble t-il normal ?

Dernière modification par Isaric (Le 24/11/2006, à 16:08)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/12/2005, à 09:59

Virus Trojan/Rootkit :FUCK: can't open

#2 Le 11/12/2005, à 08:59

Re : Virus Trojan/Rootkit :FUCK: can't open

#3 Le 11/12/2005, à 09:44

Re : Virus Trojan/Rootkit :FUCK: can't open

#4 Le 11/12/2005, à 15:03

Re : Virus Trojan/Rootkit :FUCK: can't open

#5 Le 11/12/2005, à 15:30

Re : Virus Trojan/Rootkit :FUCK: can't open

#6 Le 11/12/2005, à 16:16

Re : Virus Trojan/Rootkit :FUCK: can't open

#7 Le 11/12/2005, à 16:30

Re : Virus Trojan/Rootkit :FUCK: can't open

#8 Le 11/12/2005, à 18:22

Re : Virus Trojan/Rootkit :FUCK: can't open

#9 Le 11/12/2005, à 20:16

Re : Virus Trojan/Rootkit :FUCK: can't open

#10 Le 11/12/2005, à 22:47

Re : Virus Trojan/Rootkit :FUCK: can't open

#11 Le 12/12/2005, à 09:07

Re : Virus Trojan/Rootkit :FUCK: can't open

#12 Le 12/12/2005, à 12:34

Re : Virus Trojan/Rootkit :FUCK: can't open

#13 Le 12/12/2005, à 13:04

Re : Virus Trojan/Rootkit :FUCK: can't open

#14 Le 13/12/2005, à 09:50

Re : Virus Trojan/Rootkit :FUCK: can't open

#15 Le 13/12/2005, à 12:11

Re : Virus Trojan/Rootkit :FUCK: can't open

#16 Le 13/12/2005, à 12:34

Re : Virus Trojan/Rootkit :FUCK: can't open

#17 Le 13/12/2005, à 13:00

Re : Virus Trojan/Rootkit :FUCK: can't open

#18 Le 14/12/2005, à 00:42

Re : Virus Trojan/Rootkit :FUCK: can't open

#19 Le 14/12/2005, à 09:03

Re : Virus Trojan/Rootkit :FUCK: can't open

#20 Le 14/12/2005, à 09:26

Re : Virus Trojan/Rootkit :FUCK: can't open

#21 Le 14/12/2005, à 09:29

Re : Virus Trojan/Rootkit :FUCK: can't open

#22 Le 14/12/2005, à 13:29

Re : Virus Trojan/Rootkit :FUCK: can't open

#23 Le 16/12/2005, à 11:46

Re : Virus Trojan/Rootkit :FUCK: can't open

#24 Le 24/11/2006, à 16:02

Re : Virus Trojan/Rootkit :FUCK: can't open

Pied de page des forums