Bon, ça m'est déjà un peu arrivé, mais involontairement !
En fait, c'était une machine passerelle vite installée pour répondre à un besoin urgent. Sans réfléchir (très dangereux, ça), j'ai mis une raidatte 6.2 telle que, et non patchée, dont l'infâme wu était connu pour son ouverture (d'esprit) exemplaire...
Eh ben ça n'a pas tardé ! D'abord Ramen, Lionworm, puis un type.
Et le type, il a mit un eggrdop, puis j'ai découvert que même en le virant, y avait autre chose, parce qu'il réinstallait son eggdrop et puis un serveur de jeu et tout ça...
Ma pauvre passerelle, elle était pas faite pour ça !
Ca a duré plusieurs semaines, et j'ai laissé trainer à vrai dire pour une très bonne raison : le jeu m'amusait, mais ne représentait pas plus de danger que cela...
Etait-ce un script-kiddy ? Possible...du moins, le type semblait ne pas se cacher, parce qu'il laissait des bout de codes sur ma machine ! Et puis aussi parce qu'il effaçait régulièrement le rep /var/log (c'est franchement bourrin), mais ses propres rootkit laissaient des traces qu'il n'effaçait pas... C'est comme ça que je l'ai logé : il utilisait même des services extérieur de type dyndns, donc facile à repérer. Mais il n'opérait pas aux mêmes heures que moi (j'ai compris qu'il était brésilien).
Et puis il laissait trainer des scripts (bien cachés tout de même) dans les en-têtes desquels il laissait son nom.
Vraiment bizard comme comportement. Visiblement, il profitait de la machine et se moquait bien de la perdre vu qu'il devait s'être installé sur d'autres aussi (facile à repérer, au vu du nombre de bots qu'il y avait sur son #...)
J'ai fait cesser tout ça graçe à la tribune de linuxfr, qui m'a appris à utiliser les hosts.(deny|allow) (merci les gars !).
Bien sûr, c'est pas un honeypot, parce que ce n'était pas prévu pour ça. C'est même dangereux de laisser faire sur sa propre machine.
Il faut dire que je débutait en réseau, je n'avais aucune notion (il faut un début à tout), mais c'est un super apprentissage ! Et je suis bien content de n'avoir pas tout de suite viré ma raidatte 6.2, même si je ne touche plus à cette distrib depuis :o)
Juste pour info, les rootkits utilisés étaient géniaux (je pourrais les retrouver, je crois) ! En les décortiquant, on pouvait voir qu'ils remplaçaient quelques binaires, et en particulier ps, netstat et ls, et ils étaient installés dans des repertoires sous /dev, de façon à passer inapperçus. ps ne m'indiquait pas le service ouvert, netstat ne me montrait pas les ports ouverts, ls me cachait les repertoires des rootkits... C'est un nmap depuis l'exterieur qui m'indiquait si "DJ-mario" (c'était son surnom) était revenu...
# C'est passionnant !
Posté par Talou (site web personnel) . En réponse à la dépêche sur l'utilisation des pots de miel. Évalué à 10.
Bon, ça m'est déjà un peu arrivé, mais involontairement !
En fait, c'était une machine passerelle vite installée pour répondre à un besoin urgent. Sans réfléchir (très dangereux, ça), j'ai mis une raidatte 6.2 telle que, et non patchée, dont l'infâme wu était connu pour son ouverture (d'esprit) exemplaire...
Eh ben ça n'a pas tardé ! D'abord Ramen, Lionworm, puis un type.
Et le type, il a mit un eggrdop, puis j'ai découvert que même en le virant, y avait autre chose, parce qu'il réinstallait son eggdrop et puis un serveur de jeu et tout ça...
Ma pauvre passerelle, elle était pas faite pour ça !
Ca a duré plusieurs semaines, et j'ai laissé trainer à vrai dire pour une très bonne raison : le jeu m'amusait, mais ne représentait pas plus de danger que cela...
Etait-ce un script-kiddy ? Possible...du moins, le type semblait ne pas se cacher, parce qu'il laissait des bout de codes sur ma machine ! Et puis aussi parce qu'il effaçait régulièrement le rep /var/log (c'est franchement bourrin), mais ses propres rootkit laissaient des traces qu'il n'effaçait pas... C'est comme ça que je l'ai logé : il utilisait même des services extérieur de type dyndns, donc facile à repérer. Mais il n'opérait pas aux mêmes heures que moi (j'ai compris qu'il était brésilien).
Et puis il laissait trainer des scripts (bien cachés tout de même) dans les en-têtes desquels il laissait son nom.
Vraiment bizard comme comportement. Visiblement, il profitait de la machine et se moquait bien de la perdre vu qu'il devait s'être installé sur d'autres aussi (facile à repérer, au vu du nombre de bots qu'il y avait sur son #...)
J'ai fait cesser tout ça graçe à la tribune de linuxfr, qui m'a appris à utiliser les hosts.(deny|allow) (merci les gars !).
Bien sûr, c'est pas un honeypot, parce que ce n'était pas prévu pour ça. C'est même dangereux de laisser faire sur sa propre machine.
Il faut dire que je débutait en réseau, je n'avais aucune notion (il faut un début à tout), mais c'est un super apprentissage ! Et je suis bien content de n'avoir pas tout de suite viré ma raidatte 6.2, même si je ne touche plus à cette distrib depuis :o)
Juste pour info, les rootkits utilisés étaient géniaux (je pourrais les retrouver, je crois) ! En les décortiquant, on pouvait voir qu'ils remplaçaient quelques binaires, et en particulier ps, netstat et ls, et ils étaient installés dans des repertoires sous /dev, de façon à passer inapperçus. ps ne m'indiquait pas le service ouvert, netstat ne me montrait pas les ports ouverts, ls me cachait les repertoires des rootkits... C'est un nmap depuis l'exterieur qui m'indiquait si "DJ-mario" (c'était son surnom) était revenu...