Derniers sujets
» ce forum destiné aux etudiants merite l'encouragement
par belgika Lun 4 Sep - 15:06

» Wak Wak Mimouni Ggouten !
par belgika Dim 3 Sep - 20:36

» Videoclip Ouled mimoune au printemps أولاد ميمون تفنيت فصل الربيع
par bladinet Jeu 13 Juil - 19:50

» Ouled mimoune bourse aux primeurs سيدي بيبي بيوكري أشتوكن
par bladinet Jeu 13 Juil - 19:46

» ALMOKHANNACHOUNE المخنشون
par bladinet Jeu 13 Juil - 19:42

» Lettre a Mr Ziane رسالة الي السيد المحنك زيان
par bladinet Jeu 13 Juil - 19:36

» De la musique Amazigh sur le forum Ouled Mimoune
par Admin Mar 11 Juil - 16:37

» Les espaces Ouled Mimoune Agadir
par abkarian Mer 31 Mai - 5:04

» Association surf a Tifnit تفنيت لركوب الموج
par abkarian Mer 24 Mai - 17:16

» Mimouni abdelmalek Youtube
par abkarian Dim 14 Mai - 17:21

» Ouled mimoune photos
par tarragte Jeu 27 Avr - 0:28

» Icones cultures Ouled Mimoune
par tarragte Sam 15 Avr - 0:07

» Les Sites Ouled Mimoune
par tarragte Ven 14 Avr - 23:36

» Ouled Mimoune , l'etoile centrale du Souss Massa Draa
par tarragte Ven 14 Avr - 18:52

» hola sur souss com
par Admin Sam 4 Mar - 2:28

» Plan site forum Amazigh
par abkarian Ven 8 Avr - 13:56

» belgika se fait l'honneur de vous inviter sur souss com espace Amazighité
par belgika Mar 9 Fév - 14:39

» Amazigh Chleuh Forum collecte
par Admin Dim 31 Jan - 19:30

» Souss com souss webamazigh
par Admin Jeu 28 Jan - 23:05

» sousscom agregator
par Admin Jeu 21 Jan - 23:08

Rechercher
 
 

Résultats par :
 

 


Rechercher Recherche avancée

Novembre 2017
LunMarMerJeuVenSamDim
  12345
6789101112
13141516171819
20212223242526
27282930   

Calendrier Calendrier

Mots-clés

Blad  Souss  Mimouni  ouled  


Rootkits et veroles informatiques

Voir le sujet précédent Voir le sujet suivant Aller en bas

Yabiladi Rootkits et veroles informatiques

Message par oudarnh le Lun 14 Jan - 14:04

Un rootkit est un ensemble de petits programmes qui permettent
de devenir administrateur système dun ordinateur, ces logiciels
detectent les failles dans les portes de votre pc, s'y installent et
permettent au hacker d'en prendre possession a votre insu.
Ces rootkits sont dangereux parce que impossibles a
detecter et a supprimer et s'intercallent entre le noyau du
système kernel et les autres logiciels ainsi ils peuvent traiter
des demandes logiciels et envoyer de fausses reponses.
Les medias rapportent que plus de 30.000 sites internet
ont été victimes recemment de ces rootkits et tentent de
remedier a ce genre par l'installation de filtres anti-virus
adequates

oudarnh

Nombre de messages : 126
Age : 43
Date d'inscription : 21/12/2007

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Yabiladi Re: Rootkits et veroles informatiques

Message par oudarnh le Lun 14 Jan - 14:09

Les avions de transport Boeing 787 accessible aux hackers
c'est ce que rapportent les specialistes du fait que les voyageurs
de ce genre d'avions mettent la navigation internet a la disposition
de leurs passagers , et, il se trouve que le système de naigation et
controle de cet appareil fait partie de ce système de surf passager
et dond les hackers peuvent facilement acceder aux ressources
de l'appareil

oudarnh

Nombre de messages : 126
Age : 43
Date d'inscription : 21/12/2007

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Yabiladi Re: Rootkits et veroles informatiques

Message par siwa2 le Mer 16 Jan - 14:16

Un rootkit est un ensemble de programmes et de fichiers employés par le "pirate" pour avoir tous les droits sur un ordinateur ou un réseau, d’où le nom car il offre les avantages du compte root.

Les rootkits sont associés à des failles de sécurité comme T666 qui correspond à la faille de BIND 8.2.1, généralement ce sont des programmes et fichiers très légers, c’est-à-dire qu’ils peuvent tenir avec aisance sur une disquette, afin que cela soit plus pratique pour l’attaquant.

je vais vous expliquer ma manière de penser, La meilleure façon de combattre un ennemi est de se mettre à sa place. Alors imaginez un instant que si le rootkit pèse 40 Mo, vous vous rendrez vite compte que quelque chose ne va pas sur votre ordinateur, de même si vous voyez des icônes de processus que vous ne connaissez pas sur votre cher bureau Gnome (ou KDE, ou FluxBox ou Ion, NDLR).

je sais, je vais trop loin mais c’est pour que vous compreniez mieux leur fonctionnement et donc les parades qui peuvent éventuellement exister.

Ces processus hostiles sont difficilement détectables par l’administateur car ils changent les binaires du système, voici une liste non exhaustive des binaires les plus souvent modifiés par ces rootkits :


/bin/ps, /bin/ls, /bin/netstat, /usr/bin/lsof, /usr/bin/top

Néanmoins, il existe une solution pour détecter les rootkits, en effet le rootkit va laisser un port de votre machine ouvert pour que le "pirate" puisse accéder à votre machine.

Qu’est-ce qu’un port ?
un port est le moyen d’échange entre votre machine et l’extérieur. C’est-à-dire que chaque protocole internet http, smtp, pop, etc, utilise un port afin de faire des échanges d’informations entre votre ordinateur et le monde extérieur, un réseau LAN ou encore internet. Un exemple pour vous expliquer le principe des ports, lorsque vous ouvrez une page internet il y a échange d’informations entre le serveur hébergant le site et votre machine, dans notre cas c’est le port correspondant au protocole http qui est sollicité, c’est-à-dire le port 8000.

Bref, nous allons lancer un "scan" c’est-à-dire que nous allons scanner tout les ports de la machine pour savoir lesquels sont ouverts. pour cela nous aurons bien évidemment besoin d’un scanner de port. Le scanner par excellence est je crois NMAP. Vous pouvez le télécharger depuis http://www.insecure.org/nmap ensuite nous devons installer NMAP.

Ci-dessous vous verrez comment procéder à l’installation :


ahmed:/usr/prog# ls nmap*
nmap-3.00.tar.gz
ahmed:/usr/prog# tar xfvz nmap-3.00.tar.gz
nmap-3.00/
nmap-3.00/main.c
nmap-3.00/nmap.c
nmap-3.00/targets.c
nmap-3.00/tcpip.c
nmap-3.00/nmap_error.c
nmap-3.00/utils.c
nmap-3.00/idle_scan.c
nmap-3.00/osscan.c
nmap-3.00/output.c
nmap-3.00/scan_engine.c
ahmed:/usr/prog# cd nmap*
ahmed:/usr/prog/nmap-3.00# ./configure
checking for gcc... gcc
checking for C compiler default output... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking build system type...
ahmed:/usr/prog/nmap-3.00# make
./config.status --recheck
running /bin/sh ./configure --no-create --no-recursion
checking for gcc... gcc
checking for C compiler default output... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
ahmed:/usr/prog/nmap-3.00# make install
ahmed:/usr/prog/nmap-3.00# nmap
Nmap V. 3.00 Usage: nmap [Scan Type(s)] [Options]


Après l’installation il ne nous reste plus qu’à lancer le programme, voici ce que nous pouvons obtenir :


Port State Protocol Service
7 open tcp echo
21 open tcp ftp
25 open tcp smtp
69 open tcp tftp
79 open tcp finger


Remote operating system guess : Linux 2.4.19
Nmap run completed -- 1 IP adress (1 host up) scanned in 33 second


Dans ce cas, vous pouvez voir que les ports les plus importants sont ouverts, si lorsque vous exécutez NMAP vous obtenez la même chose et bien je suis heureux (NDLR : hum, désolé...) de vous annoncer que votre machine est une passoire car tous les ports sont ouverts et il serait plus facile de rentrer dans votre machine que dans un moulin (c’est une image).

En fonction des résultats voyons les parades qui correspondent.

pour sécuriser le port 7 qui correspond au service echo nous allons ouvrir /etc/inetd.conf avec emac ou vi et nous allons placer ce caractére # devant echo, ensuite nous sauvegarderons le fichier inetd.conf et nous ouvrirons un shell pour taper la commande suivante (il vous faut obligatoirement passé en mode root notamment avec la commande su. Comme le répertoire /etc est le répertoire de prédilection de l’administrateur, je doute fortement que votre pingouin vous laisse modifier ce répertoire en tant qu’utilisateur) :


root@localhost:$ xxxxxx -HUP inetd

Cette commande servira à prendre en compte nos modifications sur le fichier inetd.conf.

Pour le port 21 qui est celui du protocole ftp (File Transfert Protocol) nous aurons besoin de "john the ripper" qui à l’origine sert à casser les mots de passe. Les personnes qui maîtrisent le langage agricole savent qu’un ripper est une grosse "charrue" qui sert à casser les semelles de labour, "john the ripper" sert à casser les mots de passe, jolie métaphore vous ne trouvez pas ?

Nous installons donc "john the ripper". Tout d’abord il nous faudra vérifier s’il n’existe pas d’accès anonyme à ce port, si oui il faut tout simplement le supprimer, sinon nous allons tester nos mots de passe pour accéder à ftp. C’est pour cela qu’il nous faut "john the ripper" :


root@localhost:$ ./john -w:xxxxx.lst /etc/passwd
Loaded password with 1 differents salts (Standard DES [24/32 4K])
root xxxxx (nom)

bon là, il a réussi à découvrir mon mot de passe (ne vous inquiétez pas je l’ai changé) mais tant que vous obtiendrez ce résultat, il vous faudra changer de mot de passe.

Un conseil pour votre mot de passe, pour qu’il y ait moins de chance qu’il soit découvert, il faut qu’il contienne des alternances de caractères alphabétiques numériques majuscules et minuscules en plus des caractères du genre : ù, % ;&, , etc.

Pour le protocole smtp (Simple Mail Transfert Protocol) ce protocole comme son nom l’indique permet d’envoyer des mails, s’il s’agit de sendmail vous devriez le "patcher", des patchs sont disponibles à cette adressse : http://www.tis.com. Si votre sendmail est une version antérieure à la version 8.00, je vous conseillerais de le changer et de prendre une version plus récente car cette dernière est sensible à de nombreuses failles.

Maintenant, il ne nous reste plus que tftp et finger, ces deux services sont sensibles car ils permettent d’exécuter des shells malicieux avec Xterm et de récupérer le fichier /etc/passwrd (là où sont stockés tous les logins et mots de passe) pour vous dire en clair ce qu’on peut faire avec.

Alors la solution est simple, nous allons désactiver ces deux services, ainsi nous ne prendrons plus aucun risque.

Pour les désactiver c’est facile, nous allons procéder comme avec Echo. C’est-à-dire que nous allons ouvrir /etc/inetd.conf avec emac ou vi et nous allons placer un # devant tftp et finger ensuite nous ouvrirons un shell et nous taperons :


root@localhost:$ xxxxxx -HUP inetd

comme je l’ai expliqué précédemment, cette commande servira à prendre en compte nos modifications.

bon voilà, pour cette methode qui est basée sur les connaissances de l’administrateur et sa capacité à raisonner. Mais si vous débutez (on ne peut pas vous en vouloir pour ça), il existe d’autres façons pour repérer les rootkits et autre subterfuge hostiles à votre machine, nous allons les voir tout de suite.

Tout d’abord il existe chkrootkit ce petit programme permet de détecter tout rootkit sur votre ordinateur, vous le trouverez à cette adresse http://www.chkrootkit.org. La particularité qui m’a paru intéressante est celle qui permet d’utiliser des binaires présents sur une disquette ou un cd, dans le cas où les binaires de votre ordinateur sont corrompus. l’autre particularité est que vous pouvez automatiser la recherche de rootkit.

Il existe aussi TARA (Tiger Analytical Research Assistant) cet outil se présente sous forme d’un script, vous n’aurez donc nul besoin de compiler l’application. vous la trouverez sur http://www-arc.com/tara/. Pour l’exécuter il vous suffit juste de taper la commande :

Voilà pour les outils et méthodes que j’ai essayés et qui nous permettent d’assurer la sécurité d’un serveur ou d’un ordinateur sous linux. Étant donné que je n’ai pas la science infuse, je m’arrête là et je vous dis bon courage pour sécuriser vos machines.

Avant de m’en aller, une petite pensée pour la paix dans le monde, vu ce qui se prépare en ce moment et comment vont les choses, je me dis qu’il faut croire en la paix plus que tout et n’oubliez pas "la force de la logique est mieux que la logique de la force".

siwa2

Nombre de messages : 111
Age : 47
Date d'inscription : 14/10/2007

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Yabiladi Re: Rootkits et veroles informatiques

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum