Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1758 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  J'ai comme un doute sur la securité de ma machine...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

J'ai comme un doute sur la securité de ma machine...

n°144262
netswitch
minet ?
Posté le 23-08-2002 à 23:43:46  profilanswer
 

hello,  
 
depuis un ptit temps, j'ai l'impression que le traffic entrant sortant de mon serveur augmente de manière exagérée.. (passé de 100 megs /jour a 500 en 2 jours..) donc, j'ai fait joujou avec nmap et il m'a sorti ça :  
 
10/tcp     open        unknown
21/tcp     open        ftp
22/tcp     open        ssh
80/tcp     open        http
111/tcp    open        sunrpc
443/tcp    open        https
3306/tcp   open        mysql
10000/tcp  open        snet-sensor-mgmt
 
c quoi ce port 10 qui est ouvert et 111 ?  comment je peux les fermer avec ipchains ?
 
J'ai regardé les logs d'apache et de pureftp, ya rein de louche.. qu'est ce qui pourrait générer du traffic que je ne controle pas ?
Ou je peux regarder pour voir quels programmes / deamons utilisent l'interface reseau ?

mood
Publicité
Posté le 23-08-2002 à 23:43:46  profilanswer
 

n°144267
asphro
Posté le 23-08-2002 à 23:53:03  profilanswer
 

netswitch a écrit a écrit :

hello,  
 
depuis un ptit temps, j'ai l'impression que le traffic entrant sortant de mon serveur augmente de manière exagérée.. (passé de 100 megs /jour a 500 en 2 jours..) donc, j'ai fait joujou avec nmap et il m'a sorti ça :  
 
10/tcp     open        unknown
21/tcp     open        ftp
22/tcp     open        ssh
80/tcp     open        http
111/tcp    open        sunrpc
443/tcp    open        https
3306/tcp   open        mysql
10000/tcp  open        snet-sensor-mgmt
 
c quoi ce port 10 qui est ouvert et 111 ?  comment je peux les fermer avec ipchains ?
 
J'ai regardé les logs d'apache et de pureftp, ya rein de louche.. qu'est ce qui pourrait générer du traffic que je ne controle pas ?
Ou je peux regarder pour voir quels programmes / deamons utilisent l'interface reseau ?
 




 
111 c le port pour rpc.portmap service nis !!
 
10 ?

n°144270
mean
Posté le 24-08-2002 à 00:14:31  profilanswer
 

fuser -n tcp 10

n°144397
becket
Posté le 24-08-2002 à 10:23:12  profilanswer
 

Si tu veux utiliser fuser, ajoute -v,  
fuser -v -n tcp 10
 
Sinon tu peux utiliser lsof  
 
lsof -i:10
 
ce que nmap ne te dis pas ( si je veux savoir quel ports sont ouvert sur ma machine, j'aurais utilisé netstat -at ), c'est qu'il existe l'icmp et l'udp :))
 
Si je peut te donner un bon conseil, installe ippl, et configurer le de tel maniere qu'il enregistre meme l'udp

n°144467
netswitch
minet ?
Posté le 24-08-2002 à 13:20:48  profilanswer
 

ok, je vais regarder a tout ça ! merci

n°144469
netswitch
minet ?
Posté le 24-08-2002 à 13:22:35  profilanswer
 

réponse a fuser :  
 
[root@machine /root]# fuser -v -n tcp 10
 
                     USER        PID ACCESS COMMAND
10/tcp               root        828 f....  httpd
                     root      16620 f....  httpd
                     root      16621 f....  httpd
                     root      16622 f....  httpd
                     root      16623 f....  httpd
                     root      16624 f....  httpd
                     root      16626 f....  httpd
                     root      16856 f....  httpd
                     root      16876 f....  httpd
                     root      16877 f....  httpd
                     root      16942 f....  httpd
                     root      16943 f....  httpd
                     root      16944 f....  httpd
                     root      16945 f....  httpd
                     root      16946 f....  httpd
                     root      17140 f....  httpd
 
 
ça sent mauvais non ?

n°144470
mean
Posté le 24-08-2002 à 13:23:14  profilanswer
 

oui

n°144473
netswitch
minet ?
Posté le 24-08-2002 à 13:28:19  profilanswer
 

coment je peux faire le menage la dedans et savoir d'ou ça vient ?
 
Comment je peux savoir a quoi on accede ?
 
Precision : le serveur est derrière un speed touch home => pro et ya pas de regle nat qui redirige le port tcp 10...

n°144501
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 14:18:13  profilanswer
 

utilise lsof
 
il te diras les fichiers qui sont utilisés, ca peut etre une piste...
 
sinon cherche le daemon qui a ouvert c port 10, trouve ca source (d'apres ce ke tu dis c httpd), et regarde la conf pour voir ou ca tappes...
 
enfin bon si tu veux un conseil, si t'as machine est bel et bien compromise, un backup des datas et une reinstall... car tu ne sauras pas par la suite si tu n'as pas un trojan ou je ne sais koi ki tourne...
 
tu avais pas de firewall a priori ? tu devrais...

n°144505
Kyser
Agent Bebert
Posté le 24-08-2002 à 14:22:29  profilanswer
 

avec ipchains je sais pas, mais tu devrais faire l'equivalence de ceci :
 
iptables -P INPUT DROP
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
(et ainsi de suite pour les ports que tu veux seulement ouvrir)
 
Si je dis une connerie corrigez moi  :)


---------------
Teuf Corp. - Just Mix'It.
mood
Publicité
Posté le 24-08-2002 à 14:22:29  profilanswer
 

n°144533
aurelboiss
Posté le 24-08-2002 à 14:40:04  profilanswer
 

Si tu pense que ca peut etre un trojan essaye ce logiciel "CHKROOTKIT"
http://freshmeat.net/projects/chkrootkit/?topic_id=43
il est pas mal du tout  
@++

n°144534
netswitch
minet ?
Posté le 24-08-2002 à 14:41:27  profilanswer
 

bhen j'ai un firewall ipchains... et je pensais que avec le STPro, j'étais bien protégé...
 
je vais installer lsof..
 
et ya des trojans sous linux ? je croyais que c'était virus free jusqu'ici..
 
J'ai essayé de tuer les process incriminés (kill 828) mais évidemment, il a fermé apache...
 
si je fais un nmap sur mon ip "intenet" j'ai  
 
21/tcp     filtered    ftp
22/tcp     filtered    ssh
23/tcp     open        telnet
25/tcp     filtered    smtp
80/tcp     filtered    http
110/tcp    filtered    pop-3
411/tcp    filtered    rmt
1723/tcp   open        pptp
10000/tcp  filtered    snet-sensor-mgmt
 
1723, je me demande ce que c'est...   23, c'est pour le modem
les autres, ils sont redirigés directement sur le serveur..

n°144535
fl0ups
東京 - パリ - SLP
Posté le 24-08-2002 à 14:42:05  profilanswer
 

le htttpd sur le port 10 c'est un peu hummm étonnant

n°144540
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 14:46:00  profilanswer
 

il n'y a pas de bocoup de virus
 
mais quand je dis trojan, c plutot exploit que je voulais dire
 
suffit que t une vieille version d'un daemon (fait un ssh -V par exemple), que cette version soit faillible et ben hop quelqu'un peut prendre le controle de ta machine et lancer un httpd sur le port 10 pour faire autre chose...
 
netstat -apn peut te permettre de voir qui est connecté par rapport a quel processus...
 

n°144548
fl0ups
東京 - パリ - SLP
Posté le 24-08-2002 à 14:53:38  profilanswer
 

Moi j'utilise netstat -vulpt pour voir ce que j'ai comme ports ouverts mais ca revient au même
 

netswitch a écrit a écrit :

bhen j'ai un firewall ipchains... et je pensais que avec le STPro, j'étais bien protégé...



 
Grâce au stateful, iptables lave plus blanc que ipchains ;)
 

Citation :


et ya des trojans sous linux ? je croyais que c'était virus free jusqu'ici..


 
Ce sont pas des virus. Il arrive qu'on trouve des failles de sécurité dans des démons (ssh, sendmail, apache). Suite à la publication des failles de sécurité de ce genre, les ScR1pT K1ddY3s se mettent à scanner toutes les plages ip d'internet pour essayer de trouver des machines à hacker facilement. Donc si l'administrateur ne patche pas rapidement, il est vulnérable.  Une fois qu'il a trouvé une machine non patchée, en général le H4X0R du dimanche ferme la vulnérabilité (pour pas qu'un autre haxor lui pique sa machine ^^), et installe une backdoor pour pouvoir se connecter facilement.
 

Citation :


21/tcp     filtered    ftp
22/tcp     filtered    ssh
23/tcp     open        telnet
25/tcp     filtered    smtp
80/tcp     filtered    http
110/tcp    filtered    pop-3
411/tcp    filtered    rmt
1723/tcp   open        pptp
10000/tcp  filtered    snet-sensor-mgmt
 
1723, je me demande ce que c'est...   23, c'est pour le modem
les autres, ils sont redirigés directement sur le serveur..


 
Non 1723 c'est le pptp donc effectivement tu as besoin si tu as un vieux modem adsl qui utilise ce protocole.
Le 23 c'est telnet, qui permet de se connecter a distance mais qui n'est pas du tout sécurisé .. enleve le si tu t'en sers pas ou installe ssh

n°144550
netswitch
minet ?
Posté le 24-08-2002 à 14:55:16  profilanswer
 

floups : wi, pour le http, je suis aussi assez perplexe parce que le serveur est configuré pour ecouter sur le 80..  et il le fait puisque mes sites repondent...
 
kikoune :  ssh -V :  
OpenSSH_2.5.2p2, SSH protocols 1.5/2.0, OpenSSL 0x0090600f
 
c une redhat 7.1, je crois pas que ce soit une passoire point de vue failles...  Mais je suis pas ue base en securité.. (j'arrive seulement a me debrouiller comme il faut pour les serveurs http, dns, mail...)
 
pour le momment, netstat n'a trouvé personne connecté au port 10, je vais essayer de chercehr dans cette voie...

n°144551
fl0ups
東京 - パリ - SLP
Posté le 24-08-2002 à 14:55:18  profilanswer
 

le 411 et le 10000 je connais pas par contre

n°144554
fl0ups
東京 - パリ - SLP
Posté le 24-08-2002 à 14:57:22  profilanswer
 

netswitch a écrit a écrit :

 
c une redhat 7.1, je crois pas que ce soit une passoire point de vue failles




 
si tu n'as pas installé les updates récentes malheuresement si.
Pour ta version de ssh je ne sais pas si elle est (etait) vulnérable)

n°144556
fl0ups
東京 - パリ - SLP
Posté le 24-08-2002 à 14:59:08  profilanswer
 

de même je me demande si l'openssl que tu utilises est vulnérable à l'exploit qu'ils ont trouvé récemment

n°144560
netswitch
minet ?
Posté le 24-08-2002 à 15:01:02  profilanswer
 

j'ai trouvé ça d'étrange... avec netstat
tcp        0      0 0.0.0.0:10            0.0.0.0:*               LISTEN
17838/httpd
 
je vais regarder la config d'httpd de plus près encore une fois...
 
 

n°144562
becket
Posté le 24-08-2002 à 15:01:49  profilanswer
 

le 10000 c'est le port de webmin ( qui permet de configurer la machie )  
 
l'autre, pas d'idée

n°144564
netswitch
minet ?
Posté le 24-08-2002 à 15:05:05  profilanswer
 

houlà, ya du debit ici !
 
bon, alors,  
pour le port 1723 : j'ai un modem Speed touch home passé en pro donc a mon avis, ce port n'a pas a etre ouvert puisque le serveur est conencté a un hub et se sert du modem comem passerelle.
 
pour le port 10000 : c webmin,  donc ok
 
pour le firewall, j'avais voulu mettre iptables mais il fonctinnait pas.. (voulait pas démarrer, si je me souviens, il manqueit un morceau au noyeau...)
 
je vais essayer de mettre la rh 7.1 a jour mais je le sent pas bien ce coup là...

n°144570
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:10:01  profilanswer
 

moi je vote la reinstall de ta machine !
 
paceke ca OpenSSH_2.5.2p2 c un poil vieillot
 
pas etonnant que tu constates des choses bizarre...
 
on en est à OpenSSH_3.4p1
 
dis nous c koi ta distrib ??? tu l'as met a jour des fois ?
 
enfin bon la je te conseille de reinstaller...
 
regarde avec netstat si tu peux voir un ip distante connecté chez toi... ah moins que ton netstat ai eté changé (ca m'es deja arrivé une truc de ce genre, et le gars m'avait changé ps et netstat ce ki fait que je voyais rien :/), pour verifier netstat -V et ps -V
 
euh sinon koi dire d'autre
 
tape last pour voir les dernieres personnes a s'etre connceter...
 
c toujours des pistes...
 
pis ca sera sympa de voir si tu as bien un httpd sur ton port 10, si c lui qui genere le traffic que tu as remarqué, de comprendre a koi ca sert :)
 
pis si tu veux un coup de main pour les diagnostic je veux bien un compte ssh sur ta box :)
 
(j'aime bien comprendre comment les gens font pour leurs exploit)
 
edit: si tu veux un coup de main je suis sur icq now 78336764


Message édité par Kikoune le 24-08-2002 à 15:12:10
n°144584
netswitch
minet ?
Posté le 24-08-2002 à 15:25:58  profilanswer
 

je t'ai crée un compte  
va voir tes MP

n°144586
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:27:10  profilanswer
 

ok no problemo
 
tu as sur icq aussi ?
 
ca pourrait etre utile pour discuter :)

n°144587
superX
Posté le 24-08-2002 à 15:28:28  profilanswer
 

avec talk :D

n°144590
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:31:14  profilanswer
 

erf :))
 
tu peux faire un netstat -apn en root stp ? et paster ici pour voir :)

n°144593
netswitch
minet ?
Posté le 24-08-2002 à 15:34:15  profilanswer
 

alros netsta -apn :  
[root@machine /]# netstat -apn
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 0.0.0.0:20000           0.0.0.0:*               LISTEN      950/perl
tcp        0      0 0.0.0.0:10              0.0.0.0:*               LISTEN      17838/httpd
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      898/mysqld
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      584/portmap
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      17838/httpd
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      957/perl
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      900/pure-ftpd (SERV
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      730/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      769/sendmail: accep
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      17838/httpd
tcp        0      0 10.0.0.9:22             80.65.225.98:3451       ESTABLISHED 19047/sshd
tcp        0     20 10.0.0.9:22             10.0.0.1:2935           ESTABLISHED 19087/sshd
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           957/perl
udp        0      0 0.0.0.0:20000           0.0.0.0:*                           950/perl
udp        0      0 0.0.0.0:111             0.0.0.0:*                           584/portmap
Sockets du domaine UNIX actives(serveurs et établies)
Proto RefCpt Indicatrs   Type       Etat          I-Node PID/Program name    Chemin
unix  8      [ ]         DGRAM                    897    565/syslogd         /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     1164   782/gpm             /dev/gpmctl
unix  2      [ ACC ]     STREAM     LISTENING     177579 19047/sshd          /tmp/ssh-XXBWpjZE/agent.19047
unix  2      [ ACC ]     STREAM     LISTENING     1368   898/mysqld          /var/lib/mysql/mysql.sock
unix  2      [ ]         DGRAM                    1519   957/perl
unix  2      [ ]         DGRAM                    1317   900/pure-ftpd (SERV
unix  2      [ ]         DGRAM                    1162   794/crond
unix  2      [ ]         DGRAM                    1140   769/sendmail: accep
unix  2      [ ]         DGRAM                    1037   703/automount
unix  2      [ ]         DGRAM                    906    570/klogd
unix  2      [ ]         STREAM     CONNECTE      529    1/init [3]
 

n°144595
netswitch
minet ?
Posté le 24-08-2002 à 15:35:26  profilanswer
 

pour icq, je l'ai plus..
pour tes droits, je veux bien te mettre en root, je pensais qu'en te mettant come secondary group root, ça suffirait...

n°144599
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:36:38  profilanswer
 

ben si tu veux no problemo
 
on va jetter un oeil a la conf de ton apache
 
pis voir ce ke c'est que ce perl sur le 20000
 
ca te dit quelquechose ddclient ?

n°144600
netswitch
minet ?
Posté le 24-08-2002 à 15:39:48  profilanswer
 

wi, ddclient, c le prog qui mets mon ip a jour avec le domaine npower.mine.nu  (addresse ip dynamique)
 
je t'ai mis en uid 0, je suppose que tu dois pouvoir faire un peu plus de choses now ;-)

n°144601
netswitch
minet ?
Posté le 24-08-2002 à 15:41:02  profilanswer
 

le ^perl sur le 20000, ça pourrati etre usermin (gestion des users par une interface web.. mais le port 20000 n'est pas redirigé par le modem/routeur donc a priori, c inaccessible de l'exterieur..à

n°144604
netswitch
minet ?
Posté le 24-08-2002 à 15:43:17  profilanswer
 

si tu as une station windows sous ma main, je suis sur messenger (netswitch@hotmail.com)

n°144605
superX
Posté le 24-08-2002 à 15:43:33  profilanswer
 

c'est un scan de l'interieur que tu nous a montré ?  
de plus si ton firewall est configuré pour ne laisser entrer que ce qui est configuré (et non interdire ) , il se peut que le 10 en écoute soit inefficace pour un peut etre trojan , hack

n°144612
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:46:43  profilanswer
 

bon je vois pas pourkoi ton apache ouvre sur le port 10
 
c toi ki a modifié la conf a 15h12 ?

n°144615
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:47:23  profilanswer
 

j'ai pas messenger
 
par contre tu peux venir sur irc ptet ?
 
sur openprojects je suis
 
sur linux-fr ou gentoofr par exemple

n°144619
netswitch
minet ?
Posté le 24-08-2002 à 15:50:25  profilanswer
 

wi, c moi, j'ai vbiré un truc qui écoutati sur le port 443 qui étai là par defaut...
 
je vais installer un client irc...

n°144626
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 15:53:50  profilanswer
 

oky ca sera mieux pour discuter :)
 
443 c pour le httpd securisé (url https:// et cadenas en bas du browser) c normal y a pas a s'alarmer...  
 
par contre fo nettoyer un peu virer ce ki sert pas genre portmap ou gpm ? a moins que tu les utilises
 
pour les ports 10000 et 20000 c bien webmin et usermin j'avais mal vu :)
 
après reste avoir tes versions de daemons (mysql, ssh and co) pour avoir les dernieres a jour car un ssh en 2.5 ca fait peur !
 
fodra penser a mettre un firewall si tu as pas ...
 
pis le truc etrange c l'ecoute du httpd sur le 10
 

n°144666
esc
Posté le 24-08-2002 à 16:52:51  profilanswer
 

Est-ce qu'il y a un site web qui regroupe touts les trous de securité des software de serveur, regroupé par version?

n°144735
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 24-08-2002 à 19:09:54  profilanswer
 

www.securityfocus.com
www.cert.com
 
(je ne suis pas sur des urls)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  J'ai comme un doute sur la securité de ma machine...

 

Sujets relatifs
Y-a bcp de failles de sécurité en ce moment, je trouveContrôle d'une machine Linux via interface web > questions
blème impression réseau machine Linux au milieu du monde Windows!![securite et sshd] idee ? valable oui:non [MERCI ca marche]
Installation de Ghostscript et Ghostview sur machine linuxMa Mdk est moche - sans doute à cause du manque d'un paquetage Gnome
sécurité et partage avec SNF 7.2sécurité
bind et sécurité 
Plus de sujets relatifs à : J'ai comme un doute sur la securité de ma machine...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR