Dédié … premiere choses à faire après l’install

Kikoo …

Allez hop … souvent après la compromission d’un serveur, après avoir fait le tour des services installés, des ports en cours d’utilisation, des processus qui tournent, la relecture pour la 4ème fois des logs d’accès … vide 😉 l’exécution de chkrootkit pour la 2ème fois, … et là on se demande si l’attaquant n’a pas « empoisonnée » une ou plusieurs commandes et donc on demande gentiment le fichier contenant les md5 des commandes UNIX principale et la on à droit aux superbes regards interrogateur et amusé des proprios du serveur piraté ^^.

Donc voilà, le truc que certains oublient après l’install, la première chose à faire :

md5sum /bin/* | tr -s  »  » « – » > md5-binaries

ça sert à quoi ??

En cas de compromission il faut comparer le md5 de chaque commande principal (su, cp, cd, …) avec ceux contenu dans le fichier md5-binaries, mais comme on n’aime pas le faire à la main, on utilise ce genre de script :

#!/bin/sh

for i in `cat $1`
do
        md5S=`echo "$i"|cut -d "-" -f1`
        binS=`echo "$i"|cut -d "-" -f2`

if [ -f $binS ]
then
        md5C=`md5sum $binS|cut -d " " -f1`

        # echo "BINARY : $binS MD5 Sauvegardé :$md5S | MD5 Courrant : $md5C"
        if [ $md5C=$md5S ]
        then
                echo "BINARY       OK : $binS MD5 Sauvegardé :$md5S | MD5 Courrant : $md5C"
        else
                echo "!!BINARY PAS OK : $binS MD5 Sauvegardé :$md5S | MD5 Courrant : $md5C"
        fi
fi
done

Et hop, encore un truc d’inutile mais indispensable … comme tous en informatique 😉 à noter qu’il faut le refaire après chaque mise à jour de votre OS 😉