OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

castor77 · Le 28/09/2010, à 23:32

Maryp,

J'ai installé avec joie et succès Ossec et Rootcheck que tu conseiles.

Peux tu me dire la manip afin d'intégrer le lancement d'Ossec dans un lanceur comme tu le fais pour Rootcheck.

Il y a 5 lignes de code pour OSSEC, peux tu #bin bash - er !!! le tout (?) :

sudo /var/ossec/bin/syscheck_update -a

/var/ossec/bin/syscheck_update -l

sudo /var/ossec/bin/ossec-control restart

=> Exit

Top

MaryPopy · Le 28/09/2010, à 23:51

castor77 a écrit :

Peux tu me dire la manip afin d'intégrer le lancement d'Ossec dans un lanceur comme tu le fais pour Rootcheck.

La manip est expliquée clairement... Tu veux dire une seconde commande pour lancer la mise à jour en cas d'ajout de fichiers d'un seul coup ? Je ne comprend peut être pas ce que tu veux exactement.

Si c'est ta question, il te suffit de créer un scypt #bin bash et d'y mettre tes commandes à la ligne. Puis rend le exécutable.
-----------------------------------
Cool, j'ai vu qu'ils ont refait la doc sur le site aussi !

Dernière modification par MaryPopy (Le 29/09/2010, à 00:48)

MaryPopy · Le 29/09/2010, à 00:15

Pour le syscheck ils ont fait un bon effort sur les explications et les exemples. Je trouve ça bien sauf pour le rootcheck.

Mais on ajoute où les dossiers à scanner ? La page indique clairement que le rootcheck intégré à l'HIDS fait de faut positifs si il scanne tout le pc.

Il faut que je me penche un peu plus sur la question.

MaryPopy · Le 29/09/2010, à 00:29

J'ai un souci. Je ne suis jamais parvenu à vérifier la clé gpg !

J'ai toujour ce message : gpg: impossible d'ouvrir `file.sig'
gpg: verify signatures failed: erreur d'ouverture de fichier.

Dernière modification par MaryPopy (Le 29/09/2010, à 00:40)

el_profesor · Le 29/09/2010, à 09:51

Bonjour,

Je souhaiterais avoir un peu d'aide sur ces lignes. Je ne vois pas comment quelqu'un a pu essayer de se connecter à ma machine de test sachant qu'à cette heure là il n'y avait personne.

Est ce-du à cause du lancement du cron ?

2010 Sep 29 06:45:04 Rule Id: 5502 level: 3
Location: localhost->/var/log/secure
Login session closed.
Sep 29 06:45:02 localhost crond[17118]: pam_unix(crond:session): session closed for user root

2010 Sep 29 06:45:02 Rule Id: 5501 level: 3
Location: localhost->/var/log/secure
Login session opened.
Sep 29 06:45:01 localhost crond[17118]: pam_unix(crond:session): session opened for user root by (uid=0)

Merci

MaryPopy · Le 29/09/2010, à 10:29

En tout cas c est une action autorisée vu que c est que lvl3. Moi j ai tellement d alertes lvl 12 que je controle plus et je me suis fait effecer mes 2 dossiers clients les plus importants.
Je suis dans la m**de

Dernière modification par MaryPopy (Le 29/09/2010, à 12:30)

el_profesor · Le 29/09/2010, à 12:30

Oui sachant qu'il y a marqué crond je suppose que c'est mon cron sachant qu'il y a des taches dedans.
Niveau 12 oui en effet un peu inquiétant. Tu as réussi à rectifier les erreurs ?

MaryPopy · Le 29/09/2010, à 12:35

Non... Je n'ai plus surveiller tellement 12 et 15 est monnaire courrante chez moi. J'ai cru ceux qui me disait que je ne courais aucun risque. Comme je ne sait pas a quel moment ça a été effacé je ne peut pas remonter les logs. Quoi que... si je prend un peu de temps...

Heureusement que j'envois des backup en ligne. Malheureusement j ai perdu 80% de mes backup. Je peu les refaire sauf celui dont j'ai absolument besoin.

J'ai posé plainte 2x, suite à 2 effacement de la totalité d'une base mysql d'un de mes client. Mais tant que t as pas une IP à fournir les flics et interpol bougent pas. C'est toujours le même client qui trainque. Il gère la filiale Suisse d'une entreprise international assez controversée. C'est surement pour ça. Sauf que cette fois c'est mon ordinateur privé qui trainque ! Je suis persuadé que c'est qqn de proche de mon client en plus. Ou l'un de ses collaborateur.

Mais pour mon pc privé, je ne sait pas. A l'époque des premier trucs étranges et base effacées, j'étais sous Windows. Je ne sait pas pourquoi mais d'ici une semaine je sent que mon client aura de-nouveau plus aucun membres dans sa base. Je suppose que la manœuvre consistait à effacer les traces de mon ordi pour que je ne puisse plus restaurer.

Cette fois je vais mettre ses dossier sur une clé que je scan automatiquement et que je retire de l'ordi systématiquement après avoir fait un backup en ligne en SSH.

Des exemples d'alertes 12 et 15 Chez moi c'est chaque 2 jours environ :

OSSEC HIDS Notification.
2010 Sep 25 09:49:03

Received From: ubuntu->/var/log/auth.log
Rule: 40101 fired (level 12) -> "System user successfully logged to the system."
Portion of the log(s):

Sep 25 09:49:01 ubuntu su[20167]: + ??? root:nobody



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2010 Sep 25 09:49:03

Received From: ubuntu->/var/log/auth.log
Rule: 40101 fired (level 12) -> "System user successfully logged to the system."
Portion of the log(s):

Sep 25 09:49:01 ubuntu su[20176]: + ??? root:nobody

OSSEC HIDS Notification.
2010 Sep 08 12:35:41

Received From: ubuntu->/var/log/auth.log
Rule: 40501 fired (level 15) -> "Attacks followed by the addition of an user."
Portion of the log(s):

Sep  8 12:35:40 ubuntu userdel[2820]: delete user 'guest'
Sep  8 12:34:55 ubuntu su[2510]: + ??? root:guest
Sep  8 12:34:55 ubuntu su[2510]: + ??? root:guest



 --END OF NOTIFICATION

Dernière modification par MaryPopy (Le 29/09/2010, à 13:16)

el_profesor · Le 29/09/2010, à 15:51

Des fois il y a des faux positif je pense que je viens d'en avoir un là.

Alert list
2010 Sep 29 11:44:34 Rule Id: 40101 level: 12
Location: (vulcain) 192.168.1.142->WinEvtLog
System user successfully logged to the system.
WinEvtLog: Security: AUDIT_SUCCESS(528): Security: guest: ENTREPRISE: VULCAIN: Ouverture de session r�seau r�ussie : Utilisateur : guest Domaine : ENTREPRISE Id. de la session : (0x1,0x9F7C75DE) Type de session : 10 Processus de session : User32 Package d'authentification : Negotiate Station de travail : VULCAIN GUID d'ouv. de session : - Nom de l'utilisateur appelant�: VULCAIN$ Domaine appelant�: ENTREPRISE Id. de session de l'appelant�: (0x0,0x3E7) ID de processus appelant�: 14904 Services en transit : - Adresse r�seau source : 192.168.1.145 Port source : 57044

Je connais ce serveur et y compris l'adresse source. Il vient bien de mon domaine et l'utilisateur guest est dans mon domaine. Je pense que c'est donc un faux positif après essaye de vérifier pour toi.

hartman · Le 29/09/2010, à 22:59

@MaryPopy:
Pour tes datas, si elles n'ont pas été supprimé avec shred (ou srm ou dd), tu as peut-être des chances de les retrouver avec ext3grep ( http://www.cepcasa.info/blog/?p=139 ).

Pour le reste, ben faudrait déjà savoir ce qui tournait sur ta machine (serveur web, ftp, ssh, etc ...) et analyser les logs pour être certains que ce soit une attaque et trouver la source du pb.

MaryPopy · Le 30/09/2010, à 09:49

Hello,

J'ai uniquement SSH et des passage éclaire avec Apache2 que je coupe directe après l'utilisation en général.

J'avais mes données sur ext4 sur mon home et ntsf sur un dd externe

hartman · Le 30/09/2010, à 17:03

Ben ext3grep est peut-être compatible ext4 ... Tu n'as rien à perdre à tester.
Pour les datas sur du ntfs, tu peux utiliser foremost (j'ai testé, ça marche pasmal), mais le problème c'est que les fichiers ont pour nom leur inode, donc pour retrouver ses petits, c'est chaud.

Si tu as du SSH, est-ce que ton serveur a bien été configuré (genre pas de rootlogin), pas mot de passe en carton, firewall filtrant les IP source?
A mon avis, si quelqu'un a réussit à prendre la main sur ta machine, alors c'est qu'il y a une faille grosse comme un gouffre.

A ta place, je commencerai par là, et je changerai mes password.

castor77 · Le 03/10/2010, à 21:31

Tentative de hack ?

Received From: post ->/var/log/auth.log
Rule: 5401 fired (level 10) -> <b>"Three failed attempts to run sudo"</b>
Portion of the log(s):

Oct 3 20:46:25 post sudo: oedaiv : 3 incorrect password attempts ; TTY=unknown ; PWD=/post/ ; USER=root ; <b>COMMAND=/usr/sbin/synaptic</b>

hartman · Le 04/10/2010, à 18:44

Tu te serais pas plutôt planté de mot de passe lorsque tu as lancé synaptic?

En plus, une tentative de hack venant de quoi?
On ne sait pas ce qu'il y a sur ta machine, (ssh, ftp? etc ...), donc avant de partir sur des hypothèse boiteuse, il faut un minimum de renseignement, que toi seul peux trouver

castor77 · Le 04/10/2010, à 22:46

Hartman,

Merci de ta réponse.

Effectivement j'ai ouvert Synaptic pour des install, mais sans erreur de MDP, puis je l'ai fermé sans installer en raison du grand nombre de paquets.

Je me suis demandé si une personne ne s'était pas introduit en doublon sur synaptic à ce moment.

hartman · Le 05/10/2010, à 00:23

Ben si tu n'as rien d'ouvert sur ta machine, ça limite déjà pas mal les intrusion.
Tu est le seul à utiliser cette machine (pas de copine, soeur, parent qui utilise ta bécane)?

Je ne pense pas que ce soit très grave, mais le mieux est de trouver la raison

Bonne recherche

Edit:
Un test chez moi, en mettant un mauvais password:

OSSEC HIDS Notification.
2010 Oct 05 00:24:49

Received From: GrosbraX->/var/log/auth.log
Rule: 5401 fired (level 10) -> "Three failed attempts to run sudo"
Portion of the log(s):

Oct  5 00:24:49 GrosbraX sudo:  user : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/user ; USER=root ; COMMAND=/usr/sbin/synaptic

Il ne faut jamais crier au loup avant de voir si s'en est bien un ^^.

Dernière modification par hartman (Le 05/10/2010, à 00:27)

castor77 · Le 21/10/2010, à 22:39

Bonjour,

J'ai une modification de l'apparence de mon bureau

au début j'ai cru que c'était suite à des màj faites hier ou ce matin

puis au redémarrage j'ai eu :

"process 350 : Glib - warning ** : get pwuid-R (): failed due to unknow user ID (0)"

Cela peut il être due à une intrusion, ou un truc très vilain ?

Certains disent que c'est due à une config d'écran ou un contrôle de disque :

https://bugs.launchpad.net/ubuntu/+sour … bug/590326

Mais les 2 problèmes successifs sont curieux.

Dernière modification par castor77 (Le 21/10/2010, à 22:45)

castor77 · Le 21/10/2010, à 22:48

hartman a écrit :

Ben si tu n'as rien d'ouvert sur ta machine, ça limite déjà pas mal les intrusion.
Tu est le seul à utiliser cette machine (pas de copine, soeur, parent qui utilise ta bécane)?
Je ne pense pas que ce soit très grave, mais le mieux est de trouver la raison
Bonne recherche
Edit:
Un test chez moi, en mettant un mauvais password:
OSSEC HIDS Notification.
2010 Oct 05 00:24:49

Received From: GrosbraX->/var/log/auth.log
Rule: 5401 fired (level 10) -> "Three failed attempts to run sudo"
Portion of the log(s):

Oct  5 00:24:49 GrosbraX sudo:  user : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/user ; USER=root ; COMMAND=/usr/sbin/synaptic
Il ne faut jamais crier au loup avant de voir si s'en est bien un ^^.

Je te réponds avec retard.

En fait j'ai bien eu ce problème en ouvrant Système => Admin => gestionnaire de paquets synaptic et en fermant sans mettre à jour les paquets.

PS : je dis pas que c'est un loup.

Je suis juste intéressé par le fonctionnement ET paranoiaque. O m'a transmis ça aujourd'hui :
Une nouvelle méthode d'attaque informatique indétectable se propage mondialement

Dernière modification par castor77 (Le 21/10/2010, à 22:50)

MaryPopy · Le 23/10/2010, à 17:58

castor77 a écrit :

O m'a transmis ça aujourd'hui :
Une nouvelle méthode d'attaque informatique indétectable se propage mondialement

espaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespace
Hello...
Franchement, là je me fait un stage juste par curiosité dans un ypermarché de l'informatique. Franchement. Y a des virus qui ont trop la classe. Je vois de ses trucs je vous jure !
espaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespace
Je trouve les pirates d'une créativité, et je vous jure. C'est de l'art.
Je trouve juste débile que les cibles soient un peu au hazare. Bon, rien ne prouve que ce soit le hazare parfois.
espaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespace
QUi n'as jamais voulu rendre HS l'ordi d'un potes qui vous harcèle de mail du genre : "Envoi ce mail à 20 de tes amis et tu auras de la chance en amour" Juste histoirqu'il soit HS pour de bon et pouvoir lui dire... "Tu vois t'as choppé ce virus a cause de tes diapo à la con ! T'en fait pas je vais te le remettre sur pied ton Windobe. Au faite j't ai déjà parlé de Linux ?"
espaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespaceespace
J me suis remis une partition Windows, de quoi compléter ma collection de virus. Mais bon, je suis trop gentil pour les envoyers a qui que ce soit. Malgrés l'envie.

Dernière modification par MaryPopy (Le 23/10/2010, à 18:06)

castor77 · Le 23/10/2010, à 21:49

Hello...
Franchement, là je me fait un stage juste par curiosité dans un ypermarché de l'informatique. Franchement. Y a des virus qui ont trop la classe. Je vois de ses trucs je vous jure !

Genre ?

castor77 · Le 23/10/2010, à 21:51

Deux vulnérabilités Linux donnent accès au root

Linux fait actuellement l'objet de deux vulnérabilités qui pourraient donner à un pirate un accès à la machine avec des privilèges similaires à ceux de l'administrateur. Un correctif a déjà été publié.

Le noyau Linux est victime de deux vulnérabilités, qui pourraient permettre à des pirates d'accéder au root et d'obtenir ainsi un accès local sur le PC.

La première a été dévoilée hier par la société de sécurité VSR et provient d'une faille dans le protocole RDS (Reliable Datagram Sockets). Cette vulnérabilité concerne les versions 2.6.30 à 2.6.36-rc8 du noyau Linux. Présentée sous le nom de code CVE-2010-3904, elle pourrait permettre à un pirate d'avoir accès au réseau local de la machine et d'en modifier les privilèges pour avoir accès au root, identique à celui d'un super-utilisateur, c'est-à-dire d'un administrateur.

VSR a montré à quel point cette vulnérabilité était importante. Pour cette faille, Linus Torvalds, le créateur de Linux, a déjà mis en ligne un correctif de sécurité provisoire. Il proposera rapidement une mise à jour du système d'exploitation.

En parallèle, la seconde vulnérabilité, CVE-2010-3847, provient d'une faille dans le chargement de la bibliothèque GNU, par laquelle les pirates peuvent obtenir des privilèges root et pourrait acquérir un ainsi un contrôle total sur le système après avoir anéanti un serveur web avec des droits d'accès restreints.

http://www.linformaticien.com/Actualit% … fault.aspx

MaryPopy · Le 23/10/2010, à 21:56

castor77 a écrit :

Hello...
Franchement, là je me fait un stage juste par curiosité dans un ypermarché de l'informatique. Franchement. Y a des virus qui ont trop la classe. Je vois de ses trucs je vous jure !
Genre ?

Genre tu peu plus rien télécharger et le look Vista totalement changé.

castor77 · Le 23/10/2010, à 21:59

castor77 a écrit :

Bonjour,
J'ai une modification de l'apparence de mon bureau
au début j'ai cru que c'était suite à des màj faites hier ou ce matin
puis au redémarrage j'ai eu :
"process 350 : Glib - warning ** : get pwuid-R (): failed due to unknow user ID (0)"

Cela peut il être due à une intrusion, ou un truc très vilain ?
Certains disent que c'est due à une config d'écran ou un contrôle de disque :
https://bugs.launchpad.net/ubuntu/+sour … bug/590326
Mais les 2 problèmes successifs sont curieux.

Justement je disais plus haut que j'ai eu des modifs de config....

Dernière modification par castor77 (Le 23/10/2010, à 22:14)

MaryPopy · Le 23/10/2010, à 22:17

Perso j'ai installé ossec après une modification complète de l'apparence de mon bureau.

castor77 · Le 24/10/2010, à 01:06

Moi j'ai déjà Ossec

mais il y a un temp de latence dans le contrôle car il faut d'abord lancer internet pour mettre à jour Ossec...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#101 Le 28/09/2010, à 23:32

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#102 Le 28/09/2010, à 23:51

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#103 Le 29/09/2010, à 00:15

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#104 Le 29/09/2010, à 00:29

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#105 Le 29/09/2010, à 09:51

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#106 Le 29/09/2010, à 10:29

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#107 Le 29/09/2010, à 12:30

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#108 Le 29/09/2010, à 12:35

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#109 Le 29/09/2010, à 15:51

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#110 Le 29/09/2010, à 22:59

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#111 Le 30/09/2010, à 09:49

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#112 Le 30/09/2010, à 17:03

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#113 Le 03/10/2010, à 21:31

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#114 Le 04/10/2010, à 18:44

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#115 Le 04/10/2010, à 22:46

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#116 Le 05/10/2010, à 00:23

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#117 Le 21/10/2010, à 22:39

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#118 Le 21/10/2010, à 22:48

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#119 Le 23/10/2010, à 17:58

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#120 Le 23/10/2010, à 21:49

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#121 Le 23/10/2010, à 21:51

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#122 Le 23/10/2010, à 21:56

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#123 Le 23/10/2010, à 21:59

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#124 Le 23/10/2010, à 22:17

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

#125 Le 24/10/2010, à 01:06

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Pied de page des forums