Détections d’intrusion sous RedHat 7.2
jfrancois57
-
chipsocrevettes Messages postés 72 Statut Membre -
chipsocrevettes Messages postés 72 Statut Membre -
Salut
Sur mon P.C., avec le système d’exploitation RedHat 7.2 et le serveur web apache (1.3.20.-16) fourni avec l’O.S.. J’ai trouvé sur Internet un script en C qui exploite une faille de sécurité dans le module SSL. Ainsi à l’aide de ce script, j’obtiens à distance les droits d’apache de ma machine. Puis dans le /bin/sh, j’utilise un client ftp pour récupérer un deuxième script qui exploite une faille au niveau du kernel (kcron2 je crois) ce qui me donne les droits root à distance. Mon problème est que dans les fichiers de log, je ne vois que une commande su « normale » pourtant dans le fichier /etc/syslog.conf j’enregistre « *.* ». (Je pense que syslogd et krold n’arrivent pas à interpréter les messages d’erreur)
Comment je peux faire pour voir cette transaction au niveau des log ? ou existe-t-il des outils pour voir cette manipulations au niveau de la machine.
Merci d’avance pour votre aide
Sur mon P.C., avec le système d’exploitation RedHat 7.2 et le serveur web apache (1.3.20.-16) fourni avec l’O.S.. J’ai trouvé sur Internet un script en C qui exploite une faille de sécurité dans le module SSL. Ainsi à l’aide de ce script, j’obtiens à distance les droits d’apache de ma machine. Puis dans le /bin/sh, j’utilise un client ftp pour récupérer un deuxième script qui exploite une faille au niveau du kernel (kcron2 je crois) ce qui me donne les droits root à distance. Mon problème est que dans les fichiers de log, je ne vois que une commande su « normale » pourtant dans le fichier /etc/syslog.conf j’enregistre « *.* ». (Je pense que syslogd et krold n’arrivent pas à interpréter les messages d’erreur)
Comment je peux faire pour voir cette transaction au niveau des log ? ou existe-t-il des outils pour voir cette manipulations au niveau de la machine.
Merci d’avance pour votre aide
A voir également:
- Détections d’intrusion sous RedHat 7.2
- Windows installer cleanup utility 7.2 - Télécharger - Nettoyage
- Photofiltre 7.2 1 gratuit - Télécharger - Retouche d'image
- Chassis intrusion configuration - Forum Matériel & Système
- [RedHat] pb rpm dépendances - Forum Redhat
- Comment monter une clé usb sous linux redhat ✓ - Forum Redhat
5 réponses
salut,
c'est vrai que les architectures suivantes semblent vulnérables, d'après l'exploit:
0x00 - Gentoo
0x01 - Debian GNU/Linux 3.0 (Woody) apache-1.3.26-1
0x02 - RedHat Linux 6.0 (apache-1.3.6-7)
0x03 - RedHat Linux 6.1 (apache-1.3.9-4)
0x04 - RedHat Linux 6.2 (apache-1.3.12-2)
0x05 - RedHat Linux 7.0 (apache-1.3.12-25)
0x06 - RedHat Linux 7.1 (apache-1.3.19-5)
0x07 - RedHat Linux 7.2 (apache-1.3.20-16)
0x08 - RedHat Linux 7.2 (apache 1.3.26-src)
0x09 - RedHat Linux 7.3 (apache-1.3.23-11)
0x0a - SuSE Linux 7.0 (apache-1.3.12)
0x0b - SuSE Linux 7.1 (apache-1.3.17)
0x0c - SuSE Linux 7.2 (apache-1.3.19)
0x0d - SuSE Linux 7.3 (apache-1.3.20)
0x0e - SuSE Linux 8.0 (apache-1.3.23)
0x0f - SuSE Linux 8.0 (apache-1.3.23) second
0x10 - Mandrake Linux 7.1 (apache-1.3.14-2)
0x11 - Mandrake Linux 8.0 (apache-1.3.19-3)
0x12 - Mandrake Linux 8.1 (apache-1.3.20-3)
0x13 - Mandrake Linux 8.2 (apache-1.3.23-4)
0x14 - Slackware 7.1 (apache-1.3.26)
0x15 - Slackware 8.1 (apache-1.3.26)
Mais il paraît aussi que seules les redhat 6.0/6.1/6.2 sont vraiment attaquables. T'a fais comment alors? Soit tu as hacké toi même le programme d'origine (pas mal !!) soit tu as récupéré un hack? En tout cas si effectivement tu as réussi ce que tu décris, alors il y a pas mal de serveurs stratégiques qui ont du souci à se faire...la plupart ayant encore la version 1.3.2x.
Pour les problèmes de log, pas d'idée, car je ne comprends pas ta démarche.
++
c'est vrai que les architectures suivantes semblent vulnérables, d'après l'exploit:
0x00 - Gentoo
0x01 - Debian GNU/Linux 3.0 (Woody) apache-1.3.26-1
0x02 - RedHat Linux 6.0 (apache-1.3.6-7)
0x03 - RedHat Linux 6.1 (apache-1.3.9-4)
0x04 - RedHat Linux 6.2 (apache-1.3.12-2)
0x05 - RedHat Linux 7.0 (apache-1.3.12-25)
0x06 - RedHat Linux 7.1 (apache-1.3.19-5)
0x07 - RedHat Linux 7.2 (apache-1.3.20-16)
0x08 - RedHat Linux 7.2 (apache 1.3.26-src)
0x09 - RedHat Linux 7.3 (apache-1.3.23-11)
0x0a - SuSE Linux 7.0 (apache-1.3.12)
0x0b - SuSE Linux 7.1 (apache-1.3.17)
0x0c - SuSE Linux 7.2 (apache-1.3.19)
0x0d - SuSE Linux 7.3 (apache-1.3.20)
0x0e - SuSE Linux 8.0 (apache-1.3.23)
0x0f - SuSE Linux 8.0 (apache-1.3.23) second
0x10 - Mandrake Linux 7.1 (apache-1.3.14-2)
0x11 - Mandrake Linux 8.0 (apache-1.3.19-3)
0x12 - Mandrake Linux 8.1 (apache-1.3.20-3)
0x13 - Mandrake Linux 8.2 (apache-1.3.23-4)
0x14 - Slackware 7.1 (apache-1.3.26)
0x15 - Slackware 8.1 (apache-1.3.26)
Mais il paraît aussi que seules les redhat 6.0/6.1/6.2 sont vraiment attaquables. T'a fais comment alors? Soit tu as hacké toi même le programme d'origine (pas mal !!) soit tu as récupéré un hack? En tout cas si effectivement tu as réussi ce que tu décris, alors il y a pas mal de serveurs stratégiques qui ont du souci à se faire...la plupart ayant encore la version 1.3.2x.
Pour les problèmes de log, pas d'idée, car je ne comprends pas ta démarche.
++
Le but de la manoeuvre est donc de voir (ou d’essayer de voir) quand on a piraté ma machine. Surtout si j'ai oublié de mettre à jour le dernier patch ….
Comment je peux faire pour voir cette transaction au niveau des log ?
Comment je peux faire pour voir cette transaction au niveau des log ?
ok.
Si c'est slapper-A, alors il y a déjà un processus démon .bugtraq qui sera visible sur la machine.
Il doit y avoir les fichiers suivants sur la bécane: .bugtraq, .bugtraq.c, .uubugtraq
Pour slapper-C, alors les fichiers sont .cinik.c, .cinik, .cinik.uu. Le processus en cours d'exécution est .cinik.
Ca doit être un dérivé de slapper ton truc. Peut-tu en dire plus stp?
C'est peut-être l'exploit openssl-too-open...Celui-là ouvre le port 2002. A regarder!
++
Si c'est slapper-A, alors il y a déjà un processus démon .bugtraq qui sera visible sur la machine.
Il doit y avoir les fichiers suivants sur la bécane: .bugtraq, .bugtraq.c, .uubugtraq
Pour slapper-C, alors les fichiers sont .cinik.c, .cinik, .cinik.uu. Le processus en cours d'exécution est .cinik.
Ca doit être un dérivé de slapper ton truc. Peut-tu en dire plus stp?
C'est peut-être l'exploit openssl-too-open...Celui-là ouvre le port 2002. A regarder!
++
J’ai récupéré un hack sur Internet (recherche avec Google). Je ne suis pas un expert en sécurité mais juste un apprenant (du type toc-toc) et surtout grand débutant sous linux. Mon pare feu a recensé plus de 8000 attaques en moins d’une heure sur la machine dont j’envoie ce message.
PS Qui est Gentoo ?
PS Qui est Gentoo ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Gentoo, c'est la distribution un peu à la mode en ce moment car elle te permet de fabriquer un système depuis zéro, enfin presque, donc ça fait style tu bidouilles. Mais c'est pas une vraie Linux From Scratch. ;)
Et puis comme on peux voir, question sécurité, pas terrible...
Quel est le hack tu as récupéré?
++
Et puis comme on peux voir, question sécurité, pas terrible...
Quel est le hack tu as récupéré?
++
