• [^] # Re: ftp.gnu.org compromis

    Posté par . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 2.

    Il y a maintenant une options [...] qui permet d'indiquer que le noyau ne doit plus charger de modules même si tu fais un "echo /sbin/modprobe > /proc/sys/kernel/modprobe".

    Il y a toujours eu moyen de faire un "Enable module support? No", ça coute pas cher (surtout sur un serveur, où tu n'as à priori pas tellement besoin d'alsa, nvidia ou autres joyeusetés n'existant qu'en module).

    Après, tu peux préferer faire confance à ta "nouvelle" option, mais mon petit doigt me dit qu'il va être beaucoup plus difficile de forcer le noyau à accepter un module s'il lui manque tout le code le permettant que s'il lui manque juste un flag "can_load_module" à passer à 1.

    Si c'est un exploit (pas via su etc), j'en sais rien.

    Pour ça, c'est de l'IDS. Il faut analyser les comportements anormaux ("tiens tiens, root a modifié /var/log/syslog... comme c'est étrange!").

    Juste pour rire, la description que Ryan Gordon avait fait de la dernière attaque d'icculus.org:

    The guy had root access, and didn't touch any passwords or change any binaries. He overwrote all the HTML files in the filesystem with a "shout out to my homies!" webpage, and ran "rm -rf" on anything called "log".

    [...]

    He also nuked anything called ".bash_history", but didn't realize that bash writes out your command history from RAM when you log out, so basically, he left us a list of exactly what he touched.