j'ai une machine potentiellement hackée, et quelques machines de
références tournant sur la même version de MacOS X Server que la machine
douteuse.
Mon premier réflexe en général (sur FreeBSD en tout cas) c'est de
comparer les md5 de quelques binaires critiques (ls, netstat, ps, ...).
La aucune machine ne retourne le même md5, il me semble que sur MacOS X
c'est normal, à cause du prebinding.
Peut on mele confirmer ou me l'infirmer ?
Y-a-t-il une moyen de contourner le problème ?
Il me semble qu'il y avait des solutions dans cet article : http://www.macdevcenter.com/pub/a/mac/2005/10/07/mac-security.html
rahhh mtree ! je l'avais oublié lui ! merci :)
patpro
Vincent Lefevre
Dans l'article , patpro ~ Patrick Proniewski écrit:
In article , Patrick Stadelmann wrote:
Il me semble qu'il y avait des solutions dans cet article : http://www.macdevcenter.com/pub/a/mac/2005/10/07/mac-security.html
rahhh mtree ! je l'avais oublié lui ! merci :)
Ceci dit, comparer les checksums n'est pas très fiable: un rootkit pourrait très bien modifier les fichiers de façon à conserver le checksum. Pour le MD5, ce n'est pas très sûr non plus. Il faudrait utiliser SHA1 comme hash.
Dans l'article <patpro-092089.10360812122005@localhost>,
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> écrit:
In article <Patrick.Stadelmann-04042A.09412812122005@individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Il me semble qu'il y avait des solutions dans cet article :
http://www.macdevcenter.com/pub/a/mac/2005/10/07/mac-security.html
rahhh mtree ! je l'avais oublié lui ! merci :)
Ceci dit, comparer les checksums n'est pas très fiable: un rootkit
pourrait très bien modifier les fichiers de façon à conserver le
checksum. Pour le MD5, ce n'est pas très sûr non plus. Il faudrait
utiliser SHA1 comme hash.
Dans l'article , patpro ~ Patrick Proniewski écrit:
In article , Patrick Stadelmann wrote:
Il me semble qu'il y avait des solutions dans cet article : http://www.macdevcenter.com/pub/a/mac/2005/10/07/mac-security.html
rahhh mtree ! je l'avais oublié lui ! merci :)
Ceci dit, comparer les checksums n'est pas très fiable: un rootkit pourrait très bien modifier les fichiers de façon à conserver le checksum. Pour le MD5, ce n'est pas très sûr non plus. Il faudrait utiliser SHA1 comme hash.
À (at) Tue, 13 Dec 2005 16:11:19 +0000 (UTC), Vincent Lefevre <vincent+ écrivait (wrote):
Ceci dit, comparer les checksums n'est pas très fiable: un rootkit pourrait très bien modifier les fichiers de façon à conserver le checksum.
C'est vrai. Mais la plupart des rootkits ne s'embêtent même pas avec ça. Ils font souvent le minimum : seule la taille du fichier et les dates associées ne varient pas. Certains ne font que se « cacher » (dans un répertoire '...' par exemple).
Pour le MD5, ce n'est pas très sûr non plus.
Heu, là, à ma connaissance, c'est beaucoup moins vrai. Il a été prouvé récemment qu'il était possible (plus rapidement que par recherche exhaustive) de créer une collision MD5 mais dans des conditions assez restrictives et son application pratique dans un rootkit est loin d'être triviale...
Il faudrait utiliser SHA1 comme hash.
Ou MD5 *et* SHA1, c'est encore plus sûr ;-)
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) Tue, 13 Dec 2005 16:11:19 +0000 (UTC),
Vincent Lefevre <vincent+news@vinc17.org> écrivait (wrote):
Ceci dit, comparer les checksums n'est pas très fiable: un rootkit
pourrait très bien modifier les fichiers de façon à conserver le
checksum.
C'est vrai. Mais la plupart des rootkits ne s'embêtent même pas avec
ça. Ils font souvent le minimum : seule la taille du fichier et les
dates associées ne varient pas. Certains ne font que se « cacher »
(dans un répertoire '...' par exemple).
Pour le MD5, ce n'est pas très sûr non plus.
Heu, là, à ma connaissance, c'est beaucoup moins vrai. Il a été prouvé
récemment qu'il était possible (plus rapidement que par recherche
exhaustive) de créer une collision MD5 mais dans des conditions assez
restrictives et son application pratique dans un rootkit est loin
d'être triviale...
Il faudrait utiliser SHA1 comme hash.
Ou MD5 *et* SHA1, c'est encore plus sûr ;-)
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) Tue, 13 Dec 2005 16:11:19 +0000 (UTC), Vincent Lefevre <vincent+ écrivait (wrote):
Ceci dit, comparer les checksums n'est pas très fiable: un rootkit pourrait très bien modifier les fichiers de façon à conserver le checksum.
C'est vrai. Mais la plupart des rootkits ne s'embêtent même pas avec ça. Ils font souvent le minimum : seule la taille du fichier et les dates associées ne varient pas. Certains ne font que se « cacher » (dans un répertoire '...' par exemple).
Pour le MD5, ce n'est pas très sûr non plus.
Heu, là, à ma connaissance, c'est beaucoup moins vrai. Il a été prouvé récemment qu'il était possible (plus rapidement que par recherche exhaustive) de créer une collision MD5 mais dans des conditions assez restrictives et son application pratique dans un rootkit est loin d'être triviale...
Il faudrait utiliser SHA1 comme hash.
Ou MD5 *et* SHA1, c'est encore plus sûr ;-)
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
