PDA

Afficher la version complète : hackage ?par le port de l'imprimante?



artman
18/02/2008, 10h53
Bonjour, je suis sous suse 10.3
j'ai jamais eu trop de problme mais voilà que dernierement des petits messages sympas s'ajoutait à mes jobs d'impressions, et dernièrement un message moins sympa qui m'as sorti une centaine de pages " YOU HAV BEN HAkED... l'emmerdant c'est que c'est mon lieu de travail et que ça n'implique pas que moi...


y a t il des failles connues??

je compte réinstaller toute ma session linux.. y a t il des moyens d'éviter d'être revisité dans l'avenir??

les problemes que j'ai vu etait toujours lié à l'impression

Tuxie
18/02/2008, 11h18
Bonjour,

Tout dépend comment est organisé le réseau de l'entreprise : là, je dirai que le hacker passe par le port cups, mais il est presque certain qu'il utilise une autre faille pour "entrer". Sur ton poste, tu peux toujours fermer tous les ports dont tu ne te sers pas, mais celui de cups devant rester ouvert, le problème continuera certainement. Le travail de protection est à faire en amont, pour empêcher l'intrusion dans le réseau (à moins que le petit plaisantin soit en local ?)

artman
18/02/2008, 12h07
Sur ton poste, tu peux toujours fermer tous les ports dont tu ne te sers pas, mais celui de cups devant rester ouvert, le problème continuera certainement. Le travail de protection est à faire en amont, pour empêcher l'intrusion dans le réseau (à moins que le petit plaisantin soit en local ?)[/b]

euh et comment faire pour 1 identifier ces ports 2 les fermer? pcq il y a toujours untas de routines ou démons avec des noms que je ne comprends pas...

la réinstallation est qd même nécessaire non?

thveillon
18/02/2008, 12h10
Les imprimantes embarque parfois de la mémoire dans laquelle il est possible d'installer des virus, mais dans ton cas je suis d'accord avec Tuxie : le hacker a un accès à une machine du réseau local, voir est un membre du réseau local... Vérifie quand même que le port 631 est ouvert seulement sur le lan et pas sur l'extérieur, et que "allow printing from internet" n'est pas coché dans la configuration de cups (localhost:631).

Tu peux aussi consulter les files d'impression et activer les log, ça te permettra de voir l'origine des "jobs" envoyés. Mais si les messages sont "ajoutés" à des documents existants dont on est sur qu'ils sont "vierges", ça veut dire qu'un exploit a été mis en place sur la mémoire embarquée de l'imprimante, si ce sont juste des pages autonomes c'est un rigolo votre pirate... on ne pirate pas un poste pour imprimer des pages prévenant l'utilisateur, si vous avez un admin système sous la main ça ne lui prendra sans doute pas longtemps de démasquer le coupable...

artman
18/02/2008, 12h35
<div class='quotetop'>Citation (thveillon @ 18/02/2008 à 12:10) <{POST_SNAPBACK}> (index.php?act=findpost&pid=166685)</div>
Vérifie quand même que le port 631 est ouvert seulement sur le lan et par sur l'extérieur, et que "allow printing from internet" n'est pas coché dans la configuration de cups (localhost:631).[/b]

comme ça c'est bon , non?

# more /etc/cups/cupsd.conf.default
#
# "$Id: cupsd.conf.in 5454 2006-04-23 21:46:38Z mike $"
#
# Sample configuration file for the Common UNIX Printing System (CUPS)
# scheduler. See "man cupsd.conf" for a complete description of this
# file.
#

# Log general information in error_log - change "info" to "debug" for
# troubleshooting...
LogLevel info

# Administrator user group...
SystemGroup sys root

# Only listen for connections from the local machine.
Listen localhost:631
Listen /var/run/cups/cups.sock

# Show shared printers on the local network.
Browsing On
BrowseOrder allow,deny
BrowseAllow @LOCAL

# Default authentication type, when authentication is required...
DefaultAuthType Basic

# Restrict access to the server...
<Location />
***** allow,deny
Allow localhost
Allow 127.0.0.2
</Location>

# Restrict access to the admin pages...
<Location /admin>
Encryption Required
***** allow,deny
Allow localhost
</Location>

# Restrict access to configuration files...
<Location /admin/conf>
AuthType Basic
Require user @SYSTEM
***** allow,deny
Allow localhost
</Location>

# Set the default printer/job policies...
<Policy default>
# Job-related operations must be done by the owner or an adminstrator...
<Limit Send-Document Send-URI Hold-Job Release-Job Restart-Job Purge-Jobs Set-Job-Attributes Create-Job-Subscription Renew-Subscription Cancel-Subscription Get-Notifications Reprocess-Job Cancel-Current-Job S
uspend-Current-Job Resume-Job CUPS-Move-Job>
Require user @OWNER @SYSTEM
***** deny,allow
</Limit>

# All administration operations require an adminstrator to authenticate...
<Limit Pause-Printer Resume-Printer Set-Printer-Attributes Enable-Printer Disable-Printer Pause-Printer-After-Current-Job Hold-New-Jobs Release-Held-New-Jobs Deactivate-Printer Activate-Printer Restart-Printe
r Shutdown-Printer Startup-Printer Promote-Job Schedule-Job-After CUPS-Add-Printer CUPS-Delete-Printer CUPS-Add-Class CUPS-Delete-Class CUPS-Accept-Jobs CUPS-Reject-Jobs CUPS-Set-Default>
AuthType Basic
Require user @SYSTEM
***** deny,allow
</Limit>

# Only the owner or an administrator can cancel or authenticate a job...
<Limit Cancel-Job CUPS-Authenticate-Job>
Require user @OWNER @SYSTEM
***** deny,allow
</Limit>

<Limit All>
***** deny,allow
</Limit>
</Policy>

#
# End of "$Id: cupsd.conf.in 5454 2006-04-23 21:46:38Z mike $".
#


merci en tout cas !!

Tuxie
18/02/2008, 14h01
euh et comment faire pour 1 identifier ces ports 2 les fermer? pcq il y a toujours untas de routines ou démons avec des noms que je ne comprends pas...

la réinstallation est qd même nécessaire non?[/b]
Très peu de ports doivent être laissés ouverts : 80, 110, 53, 137 à 139 et éventuellement 21 et 25 si tu en as besoin. Tu peux le faire via Yast, dans les paramètres avancés du Firewall.

Pour la liste des démons, ce n'est pas toujours facile d'identifier ceux qui sont "honnêtes" et ceux qui ne le sont pas. Disons que, si dix minutes après le démarrage de la machine, tu en as 20 ou plus qui tournent, c'est louche (sans activité particulière de ta part).

Pour la réinstallation, ce n'est pas dit que cela change quelque chose, car le problème ne vient peut être pas de ton PC et, dans ce cas, le hacker pourra recommencer dès que tu le remettra en service. Ne le fais que si tu es sûr que cet idiot a stocké un exploit sur ta machine, par exemple.

thveillon
18/02/2008, 18h39
Pour voir ce qui tourne à un moment donné et les ip associées utilise
netstat -lataupen , consulte les log, tu peux facilement les diriger vers une console virtuelle et les avoir en temps réel avec

<div class='quotetop'>Citation </div>
daemon,mail.*;\
news.=crit;news.=err;news.=notice;\
*.=debug;*.=info;\
*.=notice;*.=warn /dev/tty8[/b]

à ajouter dans /etc/syslog.conf, ensuite tu fais "ctrl+alt+F8" pour voir défiler les log.

Vérifie les groupes pour tous les users de la machine, change le mot de passe root, vérifie les droits (ls -l) de /bin, /sbin,/etc, et demande à tous les membres du lan de changer leur mot de passe aussi (pour un "vrai"mot de passe).

Utilise chkrootkit et rkhunter pour contrôler la machine, vérifie les services activés au démarrage (/etc/rc*), les droits des scripts et le "timestamp" dessus (même si en cas de compromission du système c'est la première chose que "maquille" un pirate).

Si tout ça ne renvoie rien d'anormal tu peux surveiller de près pendant un moment et voir ce que ça donne, mais mon principe en la matière est simple : système compromis = réinstallation avec formatage complet, y compris du secteur de boot...

Nuke-Refugee
20/02/2008, 12h21
Je pense à une chose...
C'est ta machine du boulot? Un fixe? (sous-entendu tu le laisses sur place et tu ne l'as pas avec toi en permanence).
Si oui, alors il n'y a même pas besoin de t'attaquer depuis l'extérieur (de la machine) pour faire ça... A partir du moment où l'attaquant a un accès physique au clavier de la machine, il n'y a pas de protection qui tienne.
Tu devrais peut-être te demander si quelqu'un n'a pas tout simplement touché à ta machine en ton absence...

Seb.

thveillon
20/02/2008, 16h08
Nuke-Refugee a 100% raison, ça c'est la base de la sécurité informatique, un simple live-cd et il n'y a plus de root qui tienne...