Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 25/05/2018, à 18:10

Castor62

Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Bonjour,

J'ai un ami de fac qui prétend s'être programmé un script lui permettant de récupérer les droits root sur n'importe quelle distribution à jour Ubuntu ou Debian. D'après ses dires, il lui suffit d'y exécuter un script en mode utilisateur par une clé USB, ou en l'exécutant via un navigateur, sur l'ordinateur personnel d'une victime pour arriver, après un certain temps (qu'il ne m'a pas défini), par récupérer les droits root et en prendre le contrôle à distance.

Je n'ai pas de connaissances nécessaires pour mesurer la véracité d'une telle possibilité, aussi je me tourne vers vous pour avoir des avis plus éclairés :

Est-ce un mytho, ou bien est-ce plausible ?

Merci, bonne soirée.

Dernière modification par Castor62 (Le 01/11/2018, à 11:23)

Hors ligne

#2 Le 25/05/2018, à 18:32

Compte supprimé

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Bonsoir,
On peut toujours créer un scénario trompant l'utilisateur peu prudent afin de lui rentrer son code sur une interface qu'il pense être celle du système ...

#3 Le 25/05/2018, à 18:50

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

D'après ce que j'ai compris, son truc serait capable de prendre le contrôle d'ordinateurs d'utilisateurs calés en informatique ou en sécurité informatique.

Après, il n'a pas voulu m'en dire plus. Je sais juste que ce n'est pas l'attaque "evil maid" et qu'il lui suffirait d'avoir accès quelques secondes à l'ordinateur et à Internet.

Hors ligne

#4 Le 25/05/2018, à 19:56

Compte supprimé

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Un utilisateur prudent ne laisse pas traîner son ordinateur ...
Et si tu veux savoir si ton ami est un mytho , prête lui ton ordi lol

#5 Le 25/05/2018, à 22:20

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Ben disons que si personne ne se risque à dire que ce n'est pas possible, je serais obligé de me dire que les utilisateurs de ce forum considère majoritairement que ça reste possible.

Et dans ce cas, je ne verrais pas vraiment de raison de mettre en doute sa parole. C'est plus que j'ai cru que sur un Linux à jour, ça n'était pas possible. Si ça l'est, je ne vois pas trop de raison qu'il m'est bobardé.

Hors ligne

#6 Le 26/05/2018, à 08:07

bruno

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Bonjour,

Ce genre de chose est théoriquement possible. Cela s’appelle une escalade des privilèges.
Un tel script doit exploiter une grosse faille de sécurité pour parvenir à obtenir un shell root. Ce type de faille est rapidement connu et corrigé. Donc sur un système à jour c'est extrêmement improbable.

Si quelqu'un m'affirmait cela et refusait de me montrer son code, j'en conclurait immédiatement que c'est du pipeau.

En ligne

#7 Le 26/05/2018, à 11:38

SangokuSS

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Bonjour,

Comme le souligne Bruno, il y a peu de chance.
Mais imaginons que ce soit le cas tout de même, je te recommande de lui demander une démonstration : tu lui allumes un poste Debian que tu a configuré, donc sur lequel tu es le seul à connaître le mdp root (on a souvent un vieux pc qui traîne sur lequel on peut tester ce genre de truc... wink ) et tu le laisses faire.
S'il est capable de te sortir le mdp root, alors tu seras fixé ! (et il ne t'auras pas donné le script)

wink

#8 Le 26/05/2018, à 12:47

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Effectivement, je peux lui donner le challenge de prendre les droits root sur un linux récemment installée à jour.

Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ? big_smile

Hors ligne

#9 Le 26/05/2018, à 13:25

moko138

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

SangokuSS a écrit :

je te recommande de lui demander une démonstration

+1
Et il est instructif, si tu ne l'as jamais fait, de regarder le contenu de /var/log/auth.log.


Castor62 a écrit :

Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ? big_smile

Bien sûr : donne-moi 2 millions d'euros, et je vais te trouver ça  wink


Castor62 a écrit :

J'ai un ami de fac qui prétend s'être programmé un script lui permettant de récupérer les droits root sur n'importe quelle distribution à jour Ubuntu ou Debian. D'après ses dires, il lui suffit d'y exécuter un script en mode utilisateur
  par une clé USB,
  ou en l'exécutant via un navigateur, sur l'ordinateur personnel d'une victime pour arriver, après un certain temps (qu'il ne m'a pas défini), par récupérer les droits root et en prendre le contrôle à distance.

1) Avec un accès physique à ta machine,
  N'importe quel Linux live (usb ou DVD) permet de lire un autre disque, pourvu que les données ne soient pas chiffrées (et que l'accès au disque ne soit pas subordonné à un mot de passe de disque).

  C'est l'une des raisons pour lesquelles on se sert volontiers de sessions live pour la récupération de données.
  C'est aussi l'une des raisons pour lesquelles on répète partout (à commencer par notre Doc) qu'un accès physique à une machine suffit à en compromettre la sécurité.

AJOUT :
il y a aussi, sans même utiliser de support live, la procédure ordinaire pour qui a oublié son mot de passe !  FIN d'ajout.
  - -


2) Avec un accès filaire à ta machine,
je n'y connais rien mais j'imagine que ce n'est pas très différent (d'avec une clef live).
  - -


3) Par la toile,
J'avais essuyé deux attaques, il y a quelques années :
- décembre 2012, l'assaillant pendant la nuit avait essayé des identifiants variés, dont auth.log avait gardé la trace.
- juillet 2013, l'assaillant pendant la nuit avait essayé de se connecter en tant que root. Mais je n'active pas le compte root (dans Ubuntu, il est justement désactivé par défaut).
  Et mon mot de passe d'user n'est pas simple, bien sûr.

Le forum m'avait expliqué le point faible : la box n'était pas configurée en routeur.

Mais via un hotspot wifi ?
Eh bien, lis soigneusement les réponses que le forum m'avait données (./viewtopic.php?id=1317431).

Dernière modification par moko138 (Le 26/05/2018, à 14:51)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#10 Le 26/05/2018, à 14:24

LeoMajor

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

bonjour,

oui c'est possible dès lors qu'il y a une accès physique, et facteur aggravant que le bios/efi ne dispose pas de mot de passe, disque dur non chiffre, grub non sécurisé (sans mot de passe)

systemd prévoit des procédures de dépannage. Il suffit d'invoquer à la volée,  systemd.unit=multi-user.target  systemd.debug-shell=1 debug

le mode recovery version systemd: root ;

au menu du grub, -> options avancées, 
Au 2ième menu du grub, tu sélectionnes par exemple le kernel courant, tu édites (touche E)

Attention, tu seras en qwerty pour éditer
A la ligne "Linux ... /vmlinuz ..." , tu remplaces, plus loin, par exemple, "quiet splash" par   "systemd.unit=multi-user.target  systemd.debug-shell=1 debug"
Tu n'appuies pas sur return/enter mais directement f10 pour valider.

ensuite tu arrives à une demande de login; toto@machine ?

tu n'entres pas ton mot de passe super-utilisateur, root, ou je ne sas trop quoi, mais directement tu tapes les touches  Ctrl +Alt + F9 pour accéder à la tty9 (console root)
Tu accèdes directement sans mot de passe.

Sous root, tu fais ce que tu as à faire; ...

Hors ligne

#11 Le 26/05/2018, à 20:11

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Je verrais avec lui ce qu'il me dit de tout ça. Je reviendrais vous dire s'il a réussi sur un ordinateur réinstallé (j'ai pas ça, ais je vais voir avec lui).

Hors ligne

#12 Le 26/05/2018, à 21:50

bruno

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

S'il ne veut ni montrer le code, ni faire une démonstration c'est forcément du pipeau.
Ton argumentation sur une soit disant valeur monétaire de cet type de script ne tient pas une seconde. Si quelqu'un est capable d'un tel exploit et veut en tirer profit, il n'en parle pas à ses « amis ».
Tu as une opinion de l’humanité et de ses motivations qui est extrêmement cynique. Si les humains agissaient comme tu le supposent le logiciel libre n'existerai pas.

Dernière modification par bruno (Le 26/05/2018, à 21:58)

En ligne

#13 Le 26/05/2018, à 23:42

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

bruno a écrit :

Ton argumentation sur une soit disant valeur monétaire de cet type de script ne tient pas une seconde. Si quelqu'un est capable d'un tel exploit et veut en tirer profit, il n'en parle pas à ses « amis ».

C'est pour cela que j'ai adjoint la possibilité d'une valeur intellectuelle. Mais effectivement, ma question de départ était seulement du social engineering.

Hors ligne

#14 Le 30/05/2018, à 20:29

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Bon, un double compromis. Il va faire la démo sur une VM installé sur mon ordinateur. J'ai le choix de la version à installer parmi les dernières Ubuntu LTS ou Mint.

Le deuxième compromis, c'est qu'il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges) dans peu de temps. Vous n'aurez de prochaines nouvelles que si le test est concluant.

Hors ligne

#15 Le 31/05/2018, à 17:22

SangokuSS

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Castor62 a écrit :

Bon, un double compromis. Il va faire la démo sur une VM installé sur mon ordinateur. J'ai le choix de la version à installer parmi les dernières Ubuntu LTS ou Mint.

Le deuxième compromis, c'est qu'il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges) dans peu de temps. Vous n'aurez de prochaines nouvelles que si le test est concluant.

Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu wink ce qui ne m'étonne pas vraiment).

Dernière modification par SangokuSS (Le 31/05/2018, à 17:23)

#16 Le 31/05/2018, à 17:57

bruno

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

On est impatients de voir cela wink

En ligne

#17 Le 31/05/2018, à 18:56

moko138

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Il faut préciser les conditions opératoires :
Tu ne lui donnes aucun identifiant ni mot de passe ni adresse IP.
De plus,

1) Avec un accès physique à ta machine,
Aucun intérêt, la méthode est dans la Doc et ne requiert aucun script ni clef usb.
  - -

2) Avec un accès filaire à ta machine,
Intérêt modéré.
  - -

3) Par la toile,
Là, ce serait significatif.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#18 Le 31/05/2018, à 19:24

Castor62

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

SangokuSS a écrit :

Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu wink ce qui ne m'étonne pas vraiment).

Sous-entendu que je n'ai ni entendu ni compris.

moko138 a écrit :

Il faut préciser les conditions opératoires :
Tu ne lui donnes aucun identifiant ni mot de passe ni adresse IP.
De plus,

1) Avec un accès physique à ta machine,
Aucun intérêt, la méthode est dans la Doc et ne requiert aucun script ni clef usb.
  - -

2) Avec un accès filaire à ta machine,
Intérêt modéré.
  - -

3) Par la toile,
Là, ce serait significatif.

Par la toile, ça ne fait pas une mais deux vulnérabilités à exploiter. C'est le truc à 100000 euros ça. Par contre, effectivement pas de mot de passe. Il aurait besoin de l’accès à la session ouverte que quelques secondes). Donc bios ou grub protégé, c'est effectivement pas ça.

Hors ligne

#19 Le 02/06/2018, à 04:30

moko138

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Castor62 a écrit :

D'après ce que j'ai compris, son truc serait capable de prendre le contrôle d'ordinateurs d'utilisateurs calés en informatique ou en sécurité informatique.

Après, il n'a pas voulu m'en dire plus. Je sais juste que ce n'est pas l'attaque "evil maid" et qu'il lui suffirait d'avoir accès quelques secondes à l'ordinateur et à Internet.

Ce que je crois comprendre :
Depuis ta machine, il s'envoie ton adresse IP et ton fichier /etc/shadow.
Lequel contient une ligne plus longue que les autres :
ton login (en clair) et le hash de ton mot de passe.

La suite est là : ./viewtopic.php?pid=16944961#p16944961, où

tiramiseb a écrit :

avoir accès à un hash de mot de passe permet de prendre tout le temps qu'on veut pour le casser par brute-force sans faire une seule tentative de connexion sur la machine en question



Encore une fois, l'accès physique à ta machine est LE gros point faible.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#20 Le 02/06/2018, à 05:30

SangokuSS

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

moko138 a écrit :

Ce que je crois comprendre :
Depuis ta machine, il s'envoie ton adresse IP et ton fichier /etc/shadow.
Lequel contient une ligne plus longue que les autres :
ton login (en clair) et le hash de ton mot de passe.

Sauf que sur une Debian, on ne peut pas faire un "cp /etc/shadow /cible" puisque les permissions ne sont pas accordées par défaut wink
D'où ma remarque sur le fait que cela ne fonctionne que sur Ubuntu et Mint (point que je soulevais mais que personne n'avait compris dans mon message précédent).

#21 Le 02/06/2018, à 06:01

bruno

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Le fichier shadow ne peut pas être copié, ni sur Ubuntu, ni sur Debian, sans avoir les droits root. Le fichier appartient à root:shadow avec des droits 640.
Et quand bien même un attaquant aurait accès à ce fichier, il faudrait qu'il soit capable de casser un mot de passe chiffré et "salé" avec SHA-512 , et ça c'est pas gagné d'avance wink

En ligne

#22 Le 02/06/2018, à 06:17

moko138

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

SangokuSS a écrit :

D'où ma remarque sur le fait que cela ne fonctionne que sur Ubuntu et Mint (point que je soulevais mais que personne n'avait compris dans mon message précédent).

Eh oui, ta formulation était plutôt sybilline :

En #16, SangokuSS a écrit :

Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu wink ce qui ne m'étonne pas vraiment).

.
.

SangokuSS a écrit :

Sauf que sur une Debian, on ne peut pas faire un "cp /etc/shadow /cible" puisque les permissions ne sont pas accordées par défaut wink

Remarque fort intéressante !

1) D'où

Castor62 a écrit :

il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges)

2) Note que sur *buntu 14.04 non plus :

moko@pc1404:~$ cp /etc/shadow ~/Bureau/
cp: impossible d'ouvrir «/etc/shadow» en lecture: Permission non accordée
moko@pc1404:~$

Alors est-ce que

Castor62 a écrit :

les dernières Ubuntu LTS ou Mint

auraient introduit une faille de sécurité ?


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#23 Le 02/06/2018, à 06:34

bruno

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Voir mon message précédent. Le fichier shadow n'est accessible qu'à root quelle que soit la distribution utilisée. Il est impossible de le lire ou de le copier sans avoir les droits root.

En ligne

#24 Le 02/06/2018, à 06:42

michel_04

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Bonjour,

moko138 a écrit :
Castor62 a écrit :

Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ? big_smile

Bien sûr : donne-moi 2 millions d'euros, et je vais te trouver ça  wink

C'est la crise, tu as baissé tes tarifs. big_smile

moko138 a écrit :

Avec un accès physique à ta machine,

Raison pour laquelle, quand c'est possible, je mets un password (BIOS et HDD) au démarrage des machines.

A+

Hors ligne

#25 Le 02/06/2018, à 11:41

bruno

Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Ton ami est russe ? lol

Tes bouts de code ne montrent strictement rien… mais ça on s'en doutait un peu, hein.

Dernière modification par bruno (Le 02/06/2018, à 11:42)

En ligne