J'ai un résultat de Rootcheck alarmant

MaryPopy · Le 13/09/2010, à 18:20

Hello,

Ayant entrepris de décrire au mieux de mes capacités l'utilisation d'OSSEC en local dont le Rootcheck à cette page
http://forum.ubuntu-fr.org/viewtopic.ph … 3#p3725713

Je me suis aperçu que mon résultat d'analyse me semble alarmant. Il me sembla avoir qqch qui à été ajouté à mon /bin/login un trojan. Avez vous par exemple le même résultat d'analyse chez vous. Ce qui me prouverai sque c'est un fack.

Merci.

Voici :

** Starting Rootcheck v0.9 by Daniel B. Cid        **
** http://www.ossec.net/en/about.html#dev-team     **
** http://www.ossec.net/rootcheck/                 **

Be patient, it may take a few minutes to complete...

[INFO]: Starting rootcheck scan.

[OK]: No presence of public rootkits detected. Analyzed 268 files.

[FAILED]: Trojaned version of file '/bin/login' detected. Signature used: 'bash|elite|SucKIT|xlogin|vejeta|porcao|lets_log|sukasuk' (Generic).

[INFO]: System Audit: CIS - Testing against the CIS Debian Linux Benchmark v1.0. File: /etc/debian_version. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 1.4 - Robust partition scheme - /tmp is not on its own partition. File: /etc/fstab. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 1.4 - Robust partition scheme - /opt is not on its own partition. File: /opt. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 1.4 - Robust partition scheme - /var is not on its own partition. File: /etc/fstab. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 2.3 - SSH Configuration - Root login allowed. File: /etc/ssh/sshd_config. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 2.4 - System Accounting - Sysstat not installed. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 2.4 - System Accounting - Sysstat not enabled. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 2.5 - System harderning - Bastille is not installed. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 7.2 - Removable partition /media without 'nodev' set. File: /etc/fstab. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 7.2 - Removable partition /media without 'nosuid' set. File: /etc/fstab. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[INFO]: System Audit: CIS - Debian Linux 7.3 - User-mounted removable partition /media. File: /etc/fstab. Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .

[OK]: No problem detected on the /dev directory. Analyzed 576 files

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/ossec_conf.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/js/calendar-en.js' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/js/calendar.js' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/js/calendar-setup.js' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/js/prototype.js' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/js/hide.js' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/tmp/.htaccess' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/LICENSE' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/setup.sh' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/README' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/img/donate.gif' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/img/calendar.gif' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/img/191x81.jpg' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/img/ossecLogo.png' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/img/background.png' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/img/ossec_webui.jpg' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/README.search' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/.htaccess' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/css.css' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/cal.css' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/images/arrow.gif' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/images/hr_tag_sep.gif' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/images/hr_title_sep.gif' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/images/favicon.ico' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/css/images/pagebg.gif' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/syscheck.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/search.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/main.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/.htaccess' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/footer.html' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/header.html' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/user_mapping.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/stats.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/searchfw.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/site/help.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_syscheck.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_stats.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_util.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_firewall.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_alerts.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/.htaccess' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/Ossec/Alert.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/Ossec/AlertList.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/Ossec/Histogram.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/ossec_categories.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_agent.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/ossec_formats.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/lib/os_lib_mapping.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/.htpasswd' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/index.php' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/CONTRIB' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/ossec-wui/htaccess_def.txt' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/build_stamp' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/README' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/remastersys-gui' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/postrm' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/postinst' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/remastersys.1' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/prerm' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/dirs' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/changelog' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/compat' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/rules' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/preinst' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/copyright' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/docs' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/debian/control' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/etcdata/remastersys.conf' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/etcdata/remastersys/remastersys.version' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/etcdata/remastersys/preseed/custom.seed' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/remastersys.1.gz' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/desktopdata/remastersys-gui.desktop' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/desktopdata/remastersys-gui-kde.desktop' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/root/.local/share/Trash/files/remastersys-2.0.17/desktopdata/remastersys.png' is: 
          - owned by root,
          - has written permissions to anyone.

[FAILED]: File '/var/log/ntop/access.log' is: 
          - owned by root,
          - has written permissions to anyone.

[ERR]: Check the following files for more information:
       rootcheck-rw-rw-rw-.txt (list of world writable files)
       rootcheck-rwxrwxrwx.txt (list of world writtable/executable files)
       rootcheck-suid-files.txt (list of suid files)

[OK]: No hidden process by Kernel-level rootkits.
      /bin/ps is not trojaned. Analyzed 32768 processes.

[OK]: No kernel-level rootkit hiding any port.
      Netstat is acting correctly. Analyzed 131072 ports.

[OK]: The following ports are open:
      22 (tcp),68 (udp),111 (tcp),111 (udp),
      631 (tcp),736 (udp),3000 (tcp),5353 (udp),
      34515 (udp),38976 (udp),56167 (tcp)

[OK]: No problem detected on ifconfig/ifs. Analyzed 2 interfaces.


- Scan completed in 18 seconds.

[INFO]: Ending rootcheck scan.

root@ubuntu:/var/rootcheck-2.4#

Dernière modification par MaryPopy (Le 14/09/2010, à 13:57)

Hoper · Le 14/09/2010, à 10:25

Le lien que tu donne n'est plus valide...

Hoper · Le 14/09/2010, à 14:24

Ta signature est à jour ? C'est bien sur une ubuntu 10.04 que tu fais ça ? Si oui, copie ici le résultat de :
file /bin/login
sum /bin/login

MaryPopy · Le 14/09/2010, à 14:41

Hoper a écrit :

Ta signature est à jour ? C'est bien sur une ubuntu 10.04 que tu fais ça ? Si oui, copie ici le résultat de :
file /bin/login
sum /bin/login

Merci pour ton aide
Lol oui, j'ai une 10.04. J'ai fait ça avec le OSSEC-rootcheck. Celui indépendant du HIDS.
Celui de mon tuto :http://forum.ubuntu-fr.org/viewtopic.ph … 3#p3725713
J'te posterais ce soir le résultat. Je suis au boulot et j'ai coupé le SSH.
Disons entre 18 et 20 h heure de Paris.

Merci encore.

Dernière modification par MaryPopy (Le 14/09/2010, à 14:52)

wido · Le 14/09/2010, à 14:48

j'ai essayé sous arch, (installation en local) j'obtiens ça:

$ ./ossec-rootcheck -c rootcheck.conf

** Starting Rootcheck v0.9 by Daniel B. Cid        **
** http://www.ossec.net/en/about.html#dev-team     **
** http://www.ossec.net/rootcheck/                 **

Be patient, it may take a few minutes to complete...

[INFO]: Starting rootcheck scan.

[OK]: No presence of public rootkits detected. Analyzed 268 files.

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*awaps.net' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*ca.com' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*mcafee.com' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*microsoft.com' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*f-secure.com' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*kaspersky' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*clamav.net' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*bitdefender.com' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*antivirus.com' (Anti-virus site on the hosts file).

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*sans.org' (Security site on the hosts file).

[OK]: No problem detected on the /dev directory. Analyzed 680 files

[ERR]: Check the following files for more information:
       rootcheck-rwxrwxrwx.txt (list of world writtable/executable files)
       rootcheck-suid-files.txt (list of suid files)

[OK]: No hidden process by Kernel-level rootkits.
      /bin/ps is not trojaned. Analyzed 32768 processes.

[FAILED]: Port '1'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '2'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '3'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '4'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '5'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '6'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '7'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '8'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '9'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '10'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '11'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '12'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '13'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '14'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '15'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '16'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '17'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '18'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '19'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '20'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Port '21'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

[FAILED]: Excessive number of 'tcp' ports hidden. It maybe a false-positive or something really bad is going on.

[FAILED]: Excessive number of 'udp' ports hidden. It maybe a false-positive or something really bad is going on.

[OK]: The following ports are open

[OK]: No problem detected on ifconfig/ifs. Analyzed 2 interfaces.


- Scan completed in 54 seconds.

[INFO]: Ending rootcheck scan.

j'ai pas trop confiance au grosse boit d'antivirus, sauf clamav.

MaryPopy · Le 14/09/2010, à 14:51

@wido

Ouaip, c'est assez nouveau. Et les hébergeurs en pensent du bien.

Ouaip... toi aussi ton ordi est pas mal bouffé !
Bon... tu dit grosse boîtes mais OSSEC est un produit libre et les rootkit sont des choses qui existe et qui a un grand intérêt à contaminer du Linux. Wikipedia en parle très bien !

Merci pour ton retour depuis une autre distribution.

Salut

Dernière modification par MaryPopy (Le 14/09/2010, à 15:14)

Hoper · Le 14/09/2010, à 14:53

Disons entre 18 et 20 h heure de Paris.

Voila ce que j'ai chez moi :

hoper@balance:~$ file /bin/login
/bin/login: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.15, stripped
hoper@balance:~$ sum /bin/login
24512    39

Si tu as la même chose, je t'assurer que tu n'a pas de soucis dans ton binaire.
Globalement il faut bien comprendre que ton outil semble chercher des "signatures". Or, il peut de cette façon très bien trouver des faux positifs. Je suis sur à 99,99% que c'est le cas sur ta config.

@wido

Il y a une raison pour laquelle tu as mis tous ces sites dans ton fichier /etc/hosts !?

MaryPopy · Le 14/09/2010, à 14:58

@Hoper

Merci pour le retour. Je regarderais. Si non as tu une recette pour savoir si ce sont de faut positif ?

L'expérience ? Une choses logique ?

J'ai eu quelques étrangeté sur mon pc... comme totalement personnalisé durant mon absence (bureau, barre de tâche). Rien de méchant à première vue. Alors j'ai réinstallé et mis un HIDS. Mais je comprend pas encore tout les résultats. Celui que j'a posté ici c'est uniquement le rootcheck. L'HIDS est beaucoup plus complet.

Dernière modification par MaryPopy (Le 14/09/2010, à 15:19)

Hoper · Le 14/09/2010, à 15:17

Merci pour le retour. Je regarderais. Si non as tu une recette pour savoir si ce sont de faut positif ?
L'expérience ? Une choses logique ?

Un peu des deux. Un rapport de ce type ne sert absolument à rien si tu ne comprend pas les résultats qu'il te sort. Prenons un exemple au hasard :

[FAILED]: Trojaned version of file '/etc/hosts' detected. Signature used: '^[^#]*awaps.net' (Anti-virus site on the hosts file).

D'abbord je rappel que je n'ai jamais utilisé ce logiciel. Mais cela ne m'empêche pas d'essayer de comprendre ce qu'il explique. En l'occurrence, il a trouvé dans le fichier /etc/hosts une entrée pour le site web d'un éditeur d'antivirus.

En quoi est-ce problématique ?
Je n'ai jamais programmé de virus non plus, mais la première chose qu'un virus devrait faire est bien évidement d'empêcher les anti-virus présents sur la machine de se mettre à jour. Quoi de plus simple pour cela que d'ajouter toutes une serie de ligne dans le fichier /etc/hosts pour tous les éditeurs connus, et en indiquant bien évidement une fausse adresse ip. (soit un truc vraiment bidon, soit plus vicieux une ip qui répondra à la place de l'éditeur pour dire que oui, pas de problème, tout va bien, aucune mise à jour n'est disponible).

Mais la présence de ligne de ce type dans le fichier /etc/hosts n'est qu'une indication est rien d'autre. Si la machine n'a pas accès à un serveur dns parce qu'elle se trouve en DMZ ou autre, mais qu'evidement son admin veut tout de même lui permettre de faire les maj de l'antivirus, il va légitimement lui même ajouter les lignes qui vont bien dans le fichiers hosts.

-> Faux positif.

Pour les binaires, il doit certainement rechercher des signatures, des appels à des fonctions qui permettent d'ouvrir des shells sur la machine. Ca tombe bien, c'est justement le rôle de la commande login -> faux positif.

MaryPopy · Le 14/09/2010, à 15:24

Ok...

Celà indique tout de même qu'une action à été tenté même si elle n'a pas aboutis ?

Le contrôle d'intégrité est pas mal. Tu reçoit par mail quand un fichiers à changé de droit, ou de volume, ou d'utilisateur ou groupe. Avec l'ip concernée et possibillité de voir sous quelle cession active. C'est pas mal foutu. Paf une alerte niveau 12. Sa attire l'attention. C'est pas mal bien foutu !
Mais sa c'est le HIDS qui comprend déjà le rootcheck. Il s'installe par sh install.sh. Pas besoin de le compiler.

Moi j'ai ajouté de rootcheck à part. Puis pour les serveurs il y a le temps réel. Perso pour un desktop sa consomme un peu trop le temps réel. La configuration par défaut est un contrôle chaque 22h.

Dernière modification par MaryPopy (Le 14/09/2010, à 15:29)

Hoper · Le 14/09/2010, à 15:27

!? Non, ca indique juste que tu devrai supprimer ce logiciel dont tu ne sais pas interpréter les résultats... (surtout le prend pas mal, c'est aussi pour ça que je n'en installe jamais moi même

EDIT :

"Le contrôle d'intégrité est pas mal"

Pas pour ceux qui ne comprennent pas ce qu'ils font. Installer un clone de tripwire des mois après avoir installé la machine... c'est un peu tard Et bonjour les ennuis que tu va avoir par la suite à traiter tous les faux positifs. Tu te rend bien compte qu'a chaque mise à jour de ton système ce sont des dizaines d'alertes qui vont pleuvoir dans ta boite mail ?

Dernière modification par Hoper (Le 14/09/2010, à 15:31)

MaryPopy · Le 14/09/2010, à 15:30

Hoper a écrit :

!? Non, ca indique juste que tu devrai supprimer ce logiciel dont tu ne sais pas interpréter les résultats... (surtout le prend pas mal, c'est aussi pour ça que je n'en installe jamais moi même

Non mais je dois apprendre. Je veux passer un LPIC-1 d'ici un ans. Je me plonge à fond LInux et quand je me pose des questions j'en fait le tour au lieu d'enterrer. Mais merci pour le conseille.

Je me sert du forum pour voir les questions des autres et essayer d'apprendre la chose pour trouver des réponses. Soit pour moi, soit pour les autres.

Je prend un maximum d'xp avant de plonger dans mes livres d'étude Linux que j'en ai à la pelle mtn lol... Faut plus que je les ouvres. Mais j commence en octobre un job à 50% pour étudier.

Dernière modification par MaryPopy (Le 14/09/2010, à 15:34)

Hoper · Le 14/09/2010, à 15:36

La sécurité est un problème global. Ca ne consiste pas simplement à savoir quels sont les ports ouverts sur une machine (même si ca peut être une info intéressante).

L'exemple du contrôle d'intégrité est pas mauvais.
En installer un sans réfléchir à tout ce que cela va entrainer peut vite devenir bien pire que de ne pas en avoir....

La seule chose qu'il faut toujours mettre en place ce sont des sauvegardes (et cela fait intégralement partie d'une bonne politique de sécurité...) Tout le reste mérite réflexion et doit être décidé au cas par cas

Dernière modification par Hoper (Le 14/09/2010, à 15:37)

MaryPopy · Le 14/09/2010, à 15:36

Non OSSEC tu le met à jour, il conserve les infos de tout tes fichiers et vérifie chaque 22h que rien à bougé. Quand tu installe un nouveau truc faut remettre à jour (si tu veu ajouter ce nouveau truc à la base). Mais là je l'ai installé en m'ême temps que Ubuntu mon HIDS

Dernière modification par MaryPopy (Le 14/09/2010, à 15:40)

MaryPopy · Le 14/09/2010, à 15:39

ça ok. J'emploi Syncron. Il est génial pour les backup. Il met à jour automatiquement. Mais OSSEC je le mettrais toujours en premier sur toutes mes futurs distros. Ca c'est pas dur a comprendre quand il dit tel fichier a changé de volum a tel heur par root. Et que je ne m'étais pas logger. Ou alors sa me dit que root a essayé 3 fois de se logger alors que j'était absant. Et sa arrive !

Hoper · Le 14/09/2010, à 15:41

il conserve les infos de tout tes fichiers et vérifie chaque 22h que rien à bougé. Quand tu installe un nouveau truc faut remettre à jour.

C'est bien ce que je dis. Or, si tu utilise linux depuis au moins quelques mois tu as bien du te rendre compte que c'est presque tous les jours qu'il y a de nouvelles mises à jour... Autrement dit tu va passer ton temps à devoir vérifier toutes les alertes levées par ton programme et/ou à le "remettre à jour".

-> Faut il mieux remettre la base de ton soft à jour tous les jours, avec évidement pour conséquence qu'au bout d'un moment tu regarde plus trop les résultats et qu'en cas de véritable problème tu mettra la base à jour en embarquant le logiciel vérolé ?

-> Ou ne pas faire de mise à jour régulières de l'OS, bien surveiller les alertes mais donc laisser des tas de failles utilisables pour une attaque ?

Personnellement je préfère boucher les trous, après chacun fait comme il veut

MaryPopy · Le 14/09/2010, à 15:43

Ouaip... je ne regarde que les alèrtes de level 12 et + qui arrive qu'une fois par semaine.
Le logiciel considère que 7 est grave et 12 assez grave pour appeler un administrateur compétent.

Exemple que j'avais lancé en temps réel avec tail-f à l'installation de emessen (que je n'emploie pas) :
Sa permet de savoir que employé s'amuse à faire quoi... Si vous soubsonnez qqn... Paf OSSEC surveille vos logs à votre place.
Mais bon cette exemple mâ envoyé 3 mail. Vous pouvez monter l'alèrte à level 12 par e-mail.

** Alert 1283944241.31373: - syslog,sudo
2010 Sep 08 13:10:41 ubuntu->/var/log/auth.log
Rule: 5402 (level 3) -> 'Successful sudo to ROOT executed'
Src IP: (none)
User: thierry
Sep  8 13:10:40 ubuntu sudo:  thierry : TTY=unknown ; PWD=/home/thierry ; USER=root ; COMMAND=/usr/sbin/synaptic

** Alert 1283944935.31663: - syslog,dpkg,
2010 Sep 08 13:22:15 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:15 install emesene <néant> 1.6.1-0ubuntu1

** Alert 1283944937.31915: - syslog,dpkg,
2010 Sep 08 13:22:17 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:17 install libsexy2 <néant> 0.1.11-2build2

** Alert 1283944939.32168: - syslog,dpkg,
2010 Sep 08 13:22:19 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:18 install python-libmimic <néant> 1.0.4-2build1

** Alert 1283944939.32427: - syslog,dpkg,
2010 Sep 08 13:22:19 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:19 install python-sexy <néant> 0.1.9-1ubuntu3

** Alert 1283944945.32683: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:25 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:25 status installed hicolor-icon-theme 0.11-1

** Alert 1283944947.32948: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:27 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:27 status installed man-db 2.5.7-2

** Alert 1283944949.33202: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:29 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:28 status installed desktop-file-utils 0.16-0ubuntu2

** Alert 1283944951.33474: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:31 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:29 status installed python-gmenu 2.30.0-0ubuntu4

** Alert 1283944951.33742: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:31 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:30 status installed menu 2.1.43ubuntu1

** Alert 1283944953.34000: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:32 status installed python-support 1.0.4ubuntu1

** Alert 1283944953.34267: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed emesene 1.6.1-0ubuntu1

** Alert 1283944953.34529: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed libsexy2 0.1.11-2build2

** Alert 1283944953.34792: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed python-libmimic 1.0.4-2build1

** Alert 1283944955.35061: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed python-sexy 0.1.9-1ubuntu3

** Alert 1283944955.35327: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:34 status installed menu 2.1.43ubuntu1

** Alert 1283944955.35585: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:34 status installed libc-bin 2.11.1-0ubuntu7.2

** Alert 1283944955.35851: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:34 status installed python-support 1.0.4ubuntu1

Dernière modification par MaryPopy (Le 14/09/2010, à 15:48)

Hoper · Le 14/09/2010, à 15:47

J'emploi Syncron. Il est génial pour les backup

J'ai fait un coup de google. Ouille ouille ouiille.... C'est navrant de voir combien de personne ne font pas la différence entre une copie et une sauvegarde. Tu as vraiment beaucoup de choses à apprendre... j'ai essayé de commencer à expliquer la différence ici :
http://forum.ubuntu-fr.org/viewtopic.php?pid=3713551#p3713551
Encore une fois te vexe pas... il y a pire, il y a des gens qui confondent les raids et les sauvegardes... Ceux la, j'ai pas toujours le courage de leur expliquer

MaryPopy · Le 14/09/2010, à 15:48

Ok y a la commande dd qui copie même les secteur non utilisé. Sa fait un clone du dd. Mais la copie me suffit. Puis j'ai aussi un serveur qui copie mon système. Qui reviens au même que Syncron. Puis je trouve ça bien. Il remplace les nouveau fichiers par les ancien tout seul. Vous pouvez même copiez les fichiers caché etc.

Et le read à moin d'avoir un read 5 sa ne m'intéresse pas.

Dernière modification par MaryPopy (Le 14/09/2010, à 15:53)

Hoper · Le 14/09/2010, à 15:52

Je ne regarde que les alertes de level 12 et + qui arrive qu'une fois par semaine.
Le logiciel considère que 7 est grave et 12 assez grave pour appeler un administrateur compétent.

Vu ton log, installer des paquets en tant que root c'est noté... 3. Effectivement j'ose même pas imaginer ce qu'il faut faire pour etre noté 12. MORT DE RIRE.
(peut etre un formatage complet du disque, mais je suis même pas sur...)

Bref, ne fais confiance à aucun logiciel, c'est toi l'administrateur, et aucun logiciel ne fera ton travail à ta place. Ne pas avoir envi de réaliser des taches répétitives, c'est normal. Mais c'est alors A TOI d'écrire des scripts pour vérifier ce que TU aura décidé de vérifier.

Hoper · Le 14/09/2010, à 15:54

Ok y a la commande dd qui copie meme les secteur non utlisé. Mais la copie me suffit.

L'expérience te montrera un jour à quel point tu te trompe. J'espère que ce jour la ce sera pas trop grave pour toi de perdre des données. Ta commande "dd" tu la lance bien depuis un live CD ?

MaryPopy · Le 14/09/2010, à 15:56

C est configurable. Sa note pour qu epar exemple un administrateur soit aucourrant.
Employé x alèrte 3 Bureau y
Employé w alèrte 12 Bureau z

Plusieur possibillité de transmition d'alèrte. Même par sms. En gros si tu bosse sur du top secret et qu'un employé fait le con, suivant l'alerte tu peu choisir quel responsable est allèrté. Si tu veu que l'alèrte 7 (celle qui commence à être réellement douteuse) soit la 1 tu peu le configurer.

Dernière modification par MaryPopy (Le 14/09/2010, à 16:45)

MaryPopy · Le 14/09/2010, à 15:57

Hoper a écrit :

Ok y a la commande dd qui copie meme les secteur non utlisé. Mais la copie me suffit.
L'expérience te montrera un jour à quel point tu te trompe. J'espère que ce jour la ce sera pas trop grave pour toi de perdre des données. Ta commande "dd" tu la lance bien depuis un live CD ?

Non

sudo dd if="/dev/sda1" of="/media/blabla/
Je ne me suis pas encore attardé là dessus je veux faire sur un dd interne en faite.

Dernière modification par MaryPopy (Le 14/09/2010, à 16:05)

Hoper · Le 14/09/2010, à 16:00

Oui merveilleux, j'ai bien compris, un logiciel formidable qui sécurise tout à ta place... Le seul gros problème, c'est que ce n'est pas TOI qui lui à dit ce qu'il devait surveiller. Mais bon, visiblement j'ai du mal à me faire comprendre à ce sujet.

Prend un bon logiciel de supervision, comme zabbix par exemple. C'est super cool, tout ce que tu veux. Lui aussi il peut t'envoyer des sms ou faire n'importe quoi d'autre. Mais il ne fera rien du tout tant que TU ne lui aura pas très précisément dit quoi faire. Tu comprend la différence ?

Hoper · Le 14/09/2010, à 16:06

Non
sudo dd if="/dev/sda1" of="/media/blabla/

Super... ok, j'ai bien rigolé mais j'ai du travail aussi donc... dernière réponse et après j'arrête. Ce que tu tente de faire s'appelle une sauvegarde à chaud. Et c'est quelque chose qui est très loin d'être simple en informatique.

Ta "sauvegarde" va toujours fonctionner. Toujours. Tu n'aura jamais le moindre message d'erreur. Seulement le jour ou tu aura besoin de restaurer, tu aura la surprise de constater que tu n'a rien sauvegardé du tout. Juste un système de fichier archi corrompu (fsck nécessaire en croisant les doigts). Au niveau fs, mais aussi et surtout au niveau applicatif. Tes bases de donnés étaient arrêté ? Tu pense vraiment que mysql pourra repartir juste avec une copie de son répertoire dans /var/lib ?

Tu devrai essayer une restauration un jour pour rigoler. C'est la deuxième règle hyper importante en informatique. 1) on faut des sauvegarde. 2) On teste la restauration. Note bien que dans ton cas il n'y a pas besoin de tester pour affirmer que ca ne peut pas fonctionner. Tu veux apprendre ? Fais des recherches google sur la sauvegarde à chaud, sur les snapshot de volume et autre joyeuseté dans le genre. Tu crois que depuis 30 ans on se ferait chier avec toute ces notions si il suffisait de faire une copie de temps en temps ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/09/2010, à 18:20

J'ai un résultat de Rootcheck alarmant

#2 Le 14/09/2010, à 10:25

Re : J'ai un résultat de Rootcheck alarmant

#3 Le 14/09/2010, à 14:24

Re : J'ai un résultat de Rootcheck alarmant

#4 Le 14/09/2010, à 14:41

Re : J'ai un résultat de Rootcheck alarmant

#5 Le 14/09/2010, à 14:48

Re : J'ai un résultat de Rootcheck alarmant

#6 Le 14/09/2010, à 14:51

Re : J'ai un résultat de Rootcheck alarmant

#7 Le 14/09/2010, à 14:53

Re : J'ai un résultat de Rootcheck alarmant

#8 Le 14/09/2010, à 14:58

Re : J'ai un résultat de Rootcheck alarmant

#9 Le 14/09/2010, à 15:17

Re : J'ai un résultat de Rootcheck alarmant

#10 Le 14/09/2010, à 15:24

Re : J'ai un résultat de Rootcheck alarmant

#11 Le 14/09/2010, à 15:27

Re : J'ai un résultat de Rootcheck alarmant

#12 Le 14/09/2010, à 15:30

Re : J'ai un résultat de Rootcheck alarmant

#13 Le 14/09/2010, à 15:36

Re : J'ai un résultat de Rootcheck alarmant

#14 Le 14/09/2010, à 15:36

Re : J'ai un résultat de Rootcheck alarmant

#15 Le 14/09/2010, à 15:39

Re : J'ai un résultat de Rootcheck alarmant

#16 Le 14/09/2010, à 15:41

Re : J'ai un résultat de Rootcheck alarmant

#17 Le 14/09/2010, à 15:43

Re : J'ai un résultat de Rootcheck alarmant

#18 Le 14/09/2010, à 15:47

Re : J'ai un résultat de Rootcheck alarmant

#19 Le 14/09/2010, à 15:48

Re : J'ai un résultat de Rootcheck alarmant

#20 Le 14/09/2010, à 15:52

Re : J'ai un résultat de Rootcheck alarmant

#21 Le 14/09/2010, à 15:54

Re : J'ai un résultat de Rootcheck alarmant

#22 Le 14/09/2010, à 15:56

Re : J'ai un résultat de Rootcheck alarmant

#23 Le 14/09/2010, à 15:57

Re : J'ai un résultat de Rootcheck alarmant

#24 Le 14/09/2010, à 16:00

Re : J'ai un résultat de Rootcheck alarmant

#25 Le 14/09/2010, à 16:06

Re : J'ai un résultat de Rootcheck alarmant

Pied de page des forums