#1 Le 25/05/2018, à 18:10
- Castor62
Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bonjour,
J'ai un ami de fac qui prétend s'être programmé un script lui permettant de récupérer les droits root sur n'importe quelle distribution à jour Ubuntu ou Debian. D'après ses dires, il lui suffit d'y exécuter un script en mode utilisateur par une clé USB, ou en l'exécutant via un navigateur, sur l'ordinateur personnel d'une victime pour arriver, après un certain temps (qu'il ne m'a pas défini), par récupérer les droits root et en prendre le contrôle à distance.
Je n'ai pas de connaissances nécessaires pour mesurer la véracité d'une telle possibilité, aussi je me tourne vers vous pour avoir des avis plus éclairés :
Est-ce un mytho, ou bien est-ce plausible ?
Merci, bonne soirée.
Dernière modification par Castor62 (Le 01/11/2018, à 11:23)
Hors ligne
#2 Le 25/05/2018, à 18:32
- Compte supprimé
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bonsoir,
On peut toujours créer un scénario trompant l'utilisateur peu prudent afin de lui rentrer son code sur une interface qu'il pense être celle du système ...
#3 Le 25/05/2018, à 18:50
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
D'après ce que j'ai compris, son truc serait capable de prendre le contrôle d'ordinateurs d'utilisateurs calés en informatique ou en sécurité informatique.
Après, il n'a pas voulu m'en dire plus. Je sais juste que ce n'est pas l'attaque "evil maid" et qu'il lui suffirait d'avoir accès quelques secondes à l'ordinateur et à Internet.
Hors ligne
#4 Le 25/05/2018, à 19:56
- Compte supprimé
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Un utilisateur prudent ne laisse pas traîner son ordinateur ...
Et si tu veux savoir si ton ami est un mytho , prête lui ton ordi
#5 Le 25/05/2018, à 22:20
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Ben disons que si personne ne se risque à dire que ce n'est pas possible, je serais obligé de me dire que les utilisateurs de ce forum considère majoritairement que ça reste possible.
Et dans ce cas, je ne verrais pas vraiment de raison de mettre en doute sa parole. C'est plus que j'ai cru que sur un Linux à jour, ça n'était pas possible. Si ça l'est, je ne vois pas trop de raison qu'il m'est bobardé.
Hors ligne
#6 Le 26/05/2018, à 08:07
- bruno
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bonjour,
Ce genre de chose est théoriquement possible. Cela s’appelle une escalade des privilèges.
Un tel script doit exploiter une grosse faille de sécurité pour parvenir à obtenir un shell root. Ce type de faille est rapidement connu et corrigé. Donc sur un système à jour c'est extrêmement improbable.
Si quelqu'un m'affirmait cela et refusait de me montrer son code, j'en conclurait immédiatement que c'est du pipeau.
#7 Le 26/05/2018, à 11:38
- SangokuSS
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bonjour,
Comme le souligne Bruno, il y a peu de chance.
Mais imaginons que ce soit le cas tout de même, je te recommande de lui demander une démonstration : tu lui allumes un poste Debian que tu a configuré, donc sur lequel tu es le seul à connaître le mdp root (on a souvent un vieux pc qui traîne sur lequel on peut tester ce genre de truc... ) et tu le laisses faire.
S'il est capable de te sortir le mdp root, alors tu seras fixé ! (et il ne t'auras pas donné le script)
#8 Le 26/05/2018, à 12:47
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Effectivement, je peux lui donner le challenge de prendre les droits root sur un linux récemment installée à jour.
Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ?
Hors ligne
#9 Le 26/05/2018, à 13:25
- moko138
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
je te recommande de lui demander une démonstration
+1
Et il est instructif, si tu ne l'as jamais fait, de regarder le contenu de /var/log/auth.log.
Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ?
Bien sûr : donne-moi 2 millions d'euros, et je vais te trouver ça
J'ai un ami de fac qui prétend s'être programmé un script lui permettant de récupérer les droits root sur n'importe quelle distribution à jour Ubuntu ou Debian. D'après ses dires, il lui suffit d'y exécuter un script en mode utilisateur
par une clé USB,
ou en l'exécutant via un navigateur, sur l'ordinateur personnel d'une victime pour arriver, après un certain temps (qu'il ne m'a pas défini), par récupérer les droits root et en prendre le contrôle à distance.
1) Avec un accès physique à ta machine,
N'importe quel Linux live (usb ou DVD) permet de lire un autre disque, pourvu que les données ne soient pas chiffrées (et que l'accès au disque ne soit pas subordonné à un mot de passe de disque).
C'est l'une des raisons pour lesquelles on se sert volontiers de sessions live pour la récupération de données.
C'est aussi l'une des raisons pour lesquelles on répète partout (à commencer par notre Doc) qu'un accès physique à une machine suffit à en compromettre la sécurité.
AJOUT :
il y a aussi, sans même utiliser de support live, la procédure ordinaire pour qui a oublié son mot de passe ! FIN d'ajout.
- -
2) Avec un accès filaire à ta machine,
je n'y connais rien mais j'imagine que ce n'est pas très différent (d'avec une clef live).
- -
3) Par la toile,
J'avais essuyé deux attaques, il y a quelques années :
- décembre 2012, l'assaillant pendant la nuit avait essayé des identifiants variés, dont auth.log avait gardé la trace.
- juillet 2013, l'assaillant pendant la nuit avait essayé de se connecter en tant que root. Mais je n'active pas le compte root (dans Ubuntu, il est justement désactivé par défaut).
Et mon mot de passe d'user n'est pas simple, bien sûr.
Le forum m'avait expliqué le point faible : la box n'était pas configurée en routeur.
Mais via un hotspot wifi ?
Eh bien, lis soigneusement les réponses que le forum m'avait données (./viewtopic.php?id=1317431).
Dernière modification par moko138 (Le 26/05/2018, à 14:51)
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#10 Le 26/05/2018, à 14:24
- LeoMajor
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
bonjour,
oui c'est possible dès lors qu'il y a une accès physique, et facteur aggravant que le bios/efi ne dispose pas de mot de passe, disque dur non chiffre, grub non sécurisé (sans mot de passe)
systemd prévoit des procédures de dépannage. Il suffit d'invoquer à la volée, systemd.unit=multi-user.target systemd.debug-shell=1 debug
le mode recovery version systemd: root ;
au menu du grub, -> options avancées,
Au 2ième menu du grub, tu sélectionnes par exemple le kernel courant, tu édites (touche E)
Attention, tu seras en qwerty pour éditer
A la ligne "Linux ... /vmlinuz ..." , tu remplaces, plus loin, par exemple, "quiet splash" par "systemd.unit=multi-user.target systemd.debug-shell=1 debug"
Tu n'appuies pas sur return/enter mais directement f10 pour valider.
ensuite tu arrives à une demande de login; toto@machine ?
tu n'entres pas ton mot de passe super-utilisateur, root, ou je ne sas trop quoi, mais directement tu tapes les touches Ctrl +Alt + F9 pour accéder à la tty9 (console root)
Tu accèdes directement sans mot de passe.
Sous root, tu fais ce que tu as à faire; ...
Hors ligne
#11 Le 26/05/2018, à 20:11
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Je verrais avec lui ce qu'il me dit de tout ça. Je reviendrais vous dire s'il a réussi sur un ordinateur réinstallé (j'ai pas ça, ais je vais voir avec lui).
Hors ligne
#12 Le 26/05/2018, à 21:50
- bruno
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
S'il ne veut ni montrer le code, ni faire une démonstration c'est forcément du pipeau.
Ton argumentation sur une soit disant valeur monétaire de cet type de script ne tient pas une seconde. Si quelqu'un est capable d'un tel exploit et veut en tirer profit, il n'en parle pas à ses « amis ».
Tu as une opinion de l’humanité et de ses motivations qui est extrêmement cynique. Si les humains agissaient comme tu le supposent le logiciel libre n'existerai pas.
Dernière modification par bruno (Le 26/05/2018, à 21:58)
#13 Le 26/05/2018, à 23:42
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Ton argumentation sur une soit disant valeur monétaire de cet type de script ne tient pas une seconde. Si quelqu'un est capable d'un tel exploit et veut en tirer profit, il n'en parle pas à ses « amis ».
C'est pour cela que j'ai adjoint la possibilité d'une valeur intellectuelle. Mais effectivement, ma question de départ était seulement du social engineering.
Hors ligne
#14 Le 30/05/2018, à 20:29
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bon, un double compromis. Il va faire la démo sur une VM installé sur mon ordinateur. J'ai le choix de la version à installer parmi les dernières Ubuntu LTS ou Mint.
Le deuxième compromis, c'est qu'il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges) dans peu de temps. Vous n'aurez de prochaines nouvelles que si le test est concluant.
Hors ligne
#15 Le 31/05/2018, à 17:22
- SangokuSS
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bon, un double compromis. Il va faire la démo sur une VM installé sur mon ordinateur. J'ai le choix de la version à installer parmi les dernières Ubuntu LTS ou Mint.
Le deuxième compromis, c'est qu'il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges) dans peu de temps. Vous n'aurez de prochaines nouvelles que si le test est concluant.
Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu ce qui ne m'étonne pas vraiment).
Dernière modification par SangokuSS (Le 31/05/2018, à 17:23)
#16 Le 31/05/2018, à 17:57
- bruno
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
On est impatients de voir cela
#17 Le 31/05/2018, à 18:56
- moko138
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Il faut préciser les conditions opératoires :
Tu ne lui donnes aucun identifiant ni mot de passe ni adresse IP.
De plus,
1) Avec un accès physique à ta machine,
Aucun intérêt, la méthode est dans la Doc et ne requiert aucun script ni clef usb.
- -
2) Avec un accès filaire à ta machine,
Intérêt modéré.
- -
3) Par la toile,
Là, ce serait significatif.
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#18 Le 31/05/2018, à 19:24
- Castor62
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu ce qui ne m'étonne pas vraiment).
Sous-entendu que je n'ai ni entendu ni compris.
Il faut préciser les conditions opératoires :
Tu ne lui donnes aucun identifiant ni mot de passe ni adresse IP.
De plus,1) Avec un accès physique à ta machine,
Aucun intérêt, la méthode est dans la Doc et ne requiert aucun script ni clef usb.
- -2) Avec un accès filaire à ta machine,
Intérêt modéré.
- -3) Par la toile,
Là, ce serait significatif.
Par la toile, ça ne fait pas une mais deux vulnérabilités à exploiter. C'est le truc à 100000 euros ça. Par contre, effectivement pas de mot de passe. Il aurait besoin de l’accès à la session ouverte que quelques secondes). Donc bios ou grub protégé, c'est effectivement pas ça.
Hors ligne
#19 Le 02/06/2018, à 04:30
- moko138
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
D'après ce que j'ai compris, son truc serait capable de prendre le contrôle d'ordinateurs d'utilisateurs calés en informatique ou en sécurité informatique.
Après, il n'a pas voulu m'en dire plus. Je sais juste que ce n'est pas l'attaque "evil maid" et qu'il lui suffirait d'avoir accès quelques secondes à l'ordinateur et à Internet.
Ce que je crois comprendre :
Depuis ta machine, il s'envoie ton adresse IP et ton fichier /etc/shadow.
Lequel contient une ligne plus longue que les autres :
ton login (en clair) et le hash de ton mot de passe.
La suite est là : ./viewtopic.php?pid=16944961#p16944961, où
avoir accès à un hash de mot de passe permet de prendre tout le temps qu'on veut pour le casser par brute-force sans faire une seule tentative de connexion sur la machine en question
Encore une fois, l'accès physique à ta machine est LE gros point faible.
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#20 Le 02/06/2018, à 05:30
- SangokuSS
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Ce que je crois comprendre :
Depuis ta machine, il s'envoie ton adresse IP et ton fichier /etc/shadow.
Lequel contient une ligne plus longue que les autres :
ton login (en clair) et le hash de ton mot de passe.
Sauf que sur une Debian, on ne peut pas faire un "cp /etc/shadow /cible" puisque les permissions ne sont pas accordées par défaut
D'où ma remarque sur le fait que cela ne fonctionne que sur Ubuntu et Mint (point que je soulevais mais que personne n'avait compris dans mon message précédent).
#21 Le 02/06/2018, à 06:01
- bruno
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Le fichier shadow ne peut pas être copié, ni sur Ubuntu, ni sur Debian, sans avoir les droits root. Le fichier appartient à root:shadow avec des droits 640.
Et quand bien même un attaquant aurait accès à ce fichier, il faudrait qu'il soit capable de casser un mot de passe chiffré et "salé" avec SHA-512 , et ça c'est pas gagné d'avance
#22 Le 02/06/2018, à 06:17
- moko138
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
D'où ma remarque sur le fait que cela ne fonctionne que sur Ubuntu et Mint (point que je soulevais mais que personne n'avait compris dans mon message précédent).
Eh oui, ta formulation était plutôt sybilline :
Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu ce qui ne m'étonne pas vraiment).
.
.
Sauf que sur une Debian, on ne peut pas faire un "cp /etc/shadow /cible" puisque les permissions ne sont pas accordées par défaut
Remarque fort intéressante !
1) D'où
il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges)
2) Note que sur *buntu 14.04 non plus :
moko@pc1404:~$ cp /etc/shadow ~/Bureau/
cp: impossible d'ouvrir «/etc/shadow» en lecture: Permission non accordée
moko@pc1404:~$
Alors est-ce que
les dernières Ubuntu LTS ou Mint
auraient introduit une faille de sécurité ?
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#23 Le 02/06/2018, à 06:34
- bruno
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Voir mon message précédent. Le fichier shadow n'est accessible qu'à root quelle que soit la distribution utilisée. Il est impossible de le lire ou de le copier sans avoir les droits root.
#24 Le 02/06/2018, à 06:42
- michel_04
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Bonjour,
Castor62 a écrit :Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ?
Bien sûr : donne-moi 2 millions d'euros, et je vais te trouver ça
C'est la crise, tu as baissé tes tarifs.
Avec un accès physique à ta machine,
Raison pour laquelle, quand c'est possible, je mets un password (BIOS et HDD) au démarrage des machines.
A+
:D
De la bonne manière de poser les questions - Trouver de l'aide grâce au Groupe des Parrains Linux - Le Pacte des Gnous
PCs sous Debian Stable & Debian Sid.
Hors ligne
#25 Le 02/06/2018, à 11:41
- bruno
Re : Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian
Ton ami est russe ?
Tes bouts de code ne montrent strictement rien… mais ça on s'en doutait un peu, hein.
Dernière modification par bruno (Le 02/06/2018, à 11:42)