Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

bruno

Le fichier shadow ne peut pas être copié, ni sur Ubuntu, ni sur Debian, sans avoir les droits root. Le fichier appartient à root:shadow avec des droits 640.
Et quand bien même un attaquant aurait accès à ce fichier, il faudrait qu'il soit capable de casser un mot de passe chiffré et "salé" avec SHA-512 , et ça c'est pas gagné d'avance 😉

moko138

SangokuSS a écrit D'où ma remarque sur le fait que cela ne fonctionne que sur Ubuntu et Mint (point que je soulevais mais que personne n'avait compris dans mon message précédent).

Eh oui, ta formulation était plutôt sybilline :

En #16, SangokuSS a écrit Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu 😉 ce qui ne m'étonne pas vraiment).

.
.

SangokuSS a écrit Sauf que sur une Debian, on ne peut pas faire un "cp /etc/shadow /cible" puisque les permissions ne sont pas accordées par défaut 😉

Remarque fort intéressante !

1) D'où

Castor62 a écritil va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges)

2) Note que sur *buntu 14.04 non plus :

moko@pc1404:~$ cp /etc/shadow ~/Bureau/
cp: impossible d'ouvrir «/etc/shadow» en lecture: Permission non accordée
moko@pc1404:~$

Alors est-ce que

Castor62 a écritles dernières Ubuntu LTS ou Mint

auraient introduit une faille de sécurité ?

bruno

Voir mon message précédent. Le fichier shadow n'est accessible qu'à root quelle que soit la distribution utilisée. Il est impossible de le lire ou de le copier sans avoir les droits root.

michel_04

Bonjour,

moko138 a écrit
Castor62 a écritEst-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ? 😃
Bien sûr : donne-moi 2 millions d'euros, et je vais te trouver ça 😉

C'est la crise, tu as baissé tes tarifs. 😃

moko138 a écrit Avec un accès physique à ta machine,

Raison pour laquelle, quand c'est possible, je mets un password (BIOS et HDD) au démarrage des machines.

A+

bruno

Ton ami est russe ? :lol:

Tes bouts de code ne montrent strictement rien… mais ça on s'en doutait un peu, hein.

[supprimé]

bruno a écritLe fichier shadow ne peut pas être copié, ni sur Ubuntu, ni sur Debian, sans avoir les droits root. Le fichier appartient à root:shadow avec des droits 640.
Et quand bien même un attaquant aurait accès à ce fichier, il faudrait qu'il soit capable de casser un mot de passe chiffré et "salé" avec SHA-512 , et ça c'est pas gagné d'avance 😉

Je n'ai pas d'Ubuntu sous la main pour tester mais il me vient une question : est-il possible de "cp" le /etc/shadow via "sudo" ? Et de le lire ?

bruno

Évidement si tu utilises sudo pour acquérir les privilèges root, tu pourras lire et copier /etc/shadow.
Mais cela ne t'avancera pas à grand chose…

« Page précédente