 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : J'ai comme un doute sur la securité de ma machine... | |
| Kikoune | www.securityfocus.com
www.cert.com (je ne suis pas sur des urls) |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Kikoune | www.securityfocus.com
www.cert.com (je ne suis pas sur des urls) |
| esc | Est-ce qu'il y a un site web qui regroupe touts les trous de securité des software de serveur, regroupé par version? |
| Kikoune | oky ca sera mieux pour discuter :)
443 c pour le httpd securisé (url https:// et cadenas en bas du browser) c normal y a pas a s'alarmer... par contre fo nettoyer un peu virer ce ki sert pas genre portmap ou gpm ? a moins que tu les utilises pour les ports 10000 et 20000 c bien webmin et usermin j'avais mal vu :) après reste avoir tes versions de daemons (mysql, ssh and co) pour avoir les dernieres a jour car un ssh en 2.5 ca fait peur ! fodra penser a mettre un firewall si tu as pas ... pis le truc etrange c l'ecoute du httpd sur le 10 |
| netswitch | wi, c moi, j'ai vbiré un truc qui écoutati sur le port 443 qui étai là par defaut...
je vais installer un client irc... |
| Kikoune | j'ai pas messenger
par contre tu peux venir sur irc ptet ? sur openprojects je suis sur linux-fr ou gentoofr par exemple |
| Kikoune | bon je vois pas pourkoi ton apache ouvre sur le port 10
c toi ki a modifié la conf a 15h12 ? |
| superX | c'est un scan de l'interieur que tu nous a montré ? de plus si ton firewall est configuré pour ne laisser entrer que ce qui est configuré (et non interdire ) , il se peut que le 10 en écoute soit inefficace pour un peut etre trojan , hack |
| netswitch | si tu as une station windows sous ma main, je suis sur messenger (netswitch@hotmail.com) |
| netswitch | le ^perl sur le 20000, ça pourrati etre usermin (gestion des users par une interface web.. mais le port 20000 n'est pas redirigé par le modem/routeur donc a priori, c inaccessible de l'exterieur..à |
| netswitch | wi, ddclient, c le prog qui mets mon ip a jour avec le domaine npower.mine.nu (addresse ip dynamique)
je t'ai mis en uid 0, je suppose que tu dois pouvoir faire un peu plus de choses now ;-) |
| Kikoune | ben si tu veux no problemo
on va jetter un oeil a la conf de ton apache pis voir ce ke c'est que ce perl sur le 20000 ca te dit quelquechose ddclient ? |
| netswitch | pour icq, je l'ai plus..
pour tes droits, je veux bien te mettre en root, je pensais qu'en te mettant come secondary group root, ça suffirait... |
| netswitch | alros netsta -apn : [root@machine /]# netstat -apn Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:20000 0.0.0.0:* LISTEN 950/perl tcp 0 0 0.0.0.0:10 0.0.0.0:* LISTEN 17838/httpd tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 898/mysqld tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 584/portmap tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 17838/httpd tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 957/perl tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 900/pure-ftpd (SERV tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 730/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 769/sendmail: accep tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 17838/httpd tcp 0 0 10.0.0.9:22 80.65.225.98:3451 ESTABLISHED 19047/sshd tcp 0 20 10.0.0.9:22 10.0.0.1:2935 ESTABLISHED 19087/sshd udp 0 0 0.0.0.0:10000 0.0.0.0:* 957/perl udp 0 0 0.0.0.0:20000 0.0.0.0:* 950/perl udp 0 0 0.0.0.0:111 0.0.0.0:* 584/portmap Sockets du domaine UNIX actives(serveurs et établies) Proto RefCpt Indicatrs Type Etat I-Node PID/Program name Chemin unix 8 [ ] DGRAM 897 565/syslogd /dev/log unix 2 [ ACC ] STREAM LISTENING 1164 782/gpm /dev/gpmctl unix 2 [ ACC ] STREAM LISTENING 177579 19047/sshd /tmp/ssh-XXBWpjZE/agent.19047 unix 2 [ ACC ] STREAM LISTENING 1368 898/mysqld /var/lib/mysql/mysql.sock unix 2 [ ] DGRAM 1519 957/perl unix 2 [ ] DGRAM 1317 900/pure-ftpd (SERV unix 2 [ ] DGRAM 1162 794/crond unix 2 [ ] DGRAM 1140 769/sendmail: accep unix 2 [ ] DGRAM 1037 703/automount unix 2 [ ] DGRAM 906 570/klogd unix 2 [ ] STREAM CONNECTE 529 1/init [3] |
| Kikoune | erf :))
tu peux faire un netstat -apn en root stp ? et paster ici pour voir :) |
| superX | avec talk :D |
| Kikoune | ok no problemo
tu as sur icq aussi ? ca pourrait etre utile pour discuter :) |
| netswitch | je t'ai crée un compte va voir tes MP |
| Kikoune | moi je vote la reinstall de ta machine !
paceke ca OpenSSH_2.5.2p2 c un poil vieillot pas etonnant que tu constates des choses bizarre... on en est à OpenSSH_3.4p1 dis nous c koi ta distrib ??? tu l'as met a jour des fois ? enfin bon la je te conseille de reinstaller... regarde avec netstat si tu peux voir un ip distante connecté chez toi... ah moins que ton netstat ai eté changé (ca m'es deja arrivé une truc de ce genre, et le gars m'avait changé ps et netstat ce ki fait que je voyais rien :/), pour verifier netstat -V et ps -V euh sinon koi dire d'autre tape last pour voir les dernieres personnes a s'etre connceter... c toujours des pistes... pis ca sera sympa de voir si tu as bien un httpd sur ton port 10, si c lui qui genere le traffic que tu as remarqué, de comprendre a koi ca sert :) pis si tu veux un coup de main pour les diagnostic je veux bien un compte ssh sur ta box :) (j'aime bien comprendre comment les gens font pour leurs exploit) edit: si tu veux un coup de main je suis sur icq now 78336764 |
| netswitch | houlà, ya du debit ici !
bon, alors, pour le port 1723 : j'ai un modem Speed touch home passé en pro donc a mon avis, ce port n'a pas a etre ouvert puisque le serveur est conencté a un hub et se sert du modem comem passerelle. pour le port 10000 : c webmin, donc ok pour le firewall, j'avais voulu mettre iptables mais il fonctinnait pas.. (voulait pas démarrer, si je me souviens, il manqueit un morceau au noyeau...) je vais essayer de mettre la rh 7.1 a jour mais je le sent pas bien ce coup là... |
| becket | le 10000 c'est le port de webmin ( qui permet de configurer la machie ) l'autre, pas d'idée |
| netswitch | j'ai trouvé ça d'étrange... avec netstat
tcp 0 0 0.0.0.0:10 0.0.0.0:* LISTEN 17838/httpd je vais regarder la config d'httpd de plus près encore une fois... |
| fl0ups | de même je me demande si l'openssl que tu utilises est vulnérable à l'exploit qu'ils ont trouvé récemment |
| fl0ups |
|
| fl0ups | le 411 et le 10000 je connais pas par contre |
| netswitch | floups : wi, pour le http, je suis aussi assez perplexe parce que le serveur est configuré pour ecouter sur le 80.. et il le fait puisque mes sites repondent...
kikoune : ssh -V : OpenSSH_2.5.2p2, SSH protocols 1.5/2.0, OpenSSL 0x0090600f c une redhat 7.1, je crois pas que ce soit une passoire point de vue failles... Mais je suis pas ue base en securité.. (j'arrive seulement a me debrouiller comme il faut pour les serveurs http, dns, mail...) pour le momment, netstat n'a trouvé personne connecté au port 10, je vais essayer de chercehr dans cette voie... |
| fl0ups | Moi j'utilise netstat -vulpt pour voir ce que j'ai comme ports ouverts mais ca revient au même
|
| Kikoune | il n'y a pas de bocoup de virus
mais quand je dis trojan, c plutot exploit que je voulais dire suffit que t une vieille version d'un daemon (fait un ssh -V par exemple), que cette version soit faillible et ben hop quelqu'un peut prendre le controle de ta machine et lancer un httpd sur le port 10 pour faire autre chose... netstat -apn peut te permettre de voir qui est connecté par rapport a quel processus... |
| fl0ups | le htttpd sur le port 10 c'est un peu hummm étonnant |
| netswitch | bhen j'ai un firewall ipchains... et je pensais que avec le STPro, j'étais bien protégé...
je vais installer lsof.. et ya des trojans sous linux ? je croyais que c'était virus free jusqu'ici.. J'ai essayé de tuer les process incriminés (kill 828) mais évidemment, il a fermé apache... si je fais un nmap sur mon ip "intenet" j'ai 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp open telnet 25/tcp filtered smtp 80/tcp filtered http 110/tcp filtered pop-3 411/tcp filtered rmt 1723/tcp open pptp 10000/tcp filtered snet-sensor-mgmt 1723, je me demande ce que c'est... 23, c'est pour le modem les autres, ils sont redirigés directement sur le serveur.. |
| aurelboiss | Si tu pense que ca peut etre un trojan essaye ce logiciel "CHKROOTKIT"
http://freshmeat.net/projects/chkrootkit/?topic_id=43 il est pas mal du tout @++ |
| Kyser | avec ipchains je sais pas, mais tu devrais faire l'equivalence de ceci :
iptables -P INPUT DROP iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT (et ainsi de suite pour les ports que tu veux seulement ouvrir) Si je dis une connerie corrigez moi :) |
| Kikoune | utilise lsof
il te diras les fichiers qui sont utilisés, ca peut etre une piste... sinon cherche le daemon qui a ouvert c port 10, trouve ca source (d'apres ce ke tu dis c httpd), et regarde la conf pour voir ou ca tappes... enfin bon si tu veux un conseil, si t'as machine est bel et bien compromise, un backup des datas et une reinstall... car tu ne sauras pas par la suite si tu n'as pas un trojan ou je ne sais koi ki tourne... tu avais pas de firewall a priori ? tu devrais... |
| netswitch | coment je peux faire le menage la dedans et savoir d'ou ça vient ?
Comment je peux savoir a quoi on accede ? Precision : le serveur est derrière un speed touch home => pro et ya pas de regle nat qui redirige le port tcp 10... |
| mean | oui |
| netswitch | réponse a fuser : [root@machine /root]# fuser -v -n tcp 10 USER PID ACCESS COMMAND 10/tcp root 828 f.... httpd root 16620 f.... httpd root 16621 f.... httpd root 16622 f.... httpd root 16623 f.... httpd root 16624 f.... httpd root 16626 f.... httpd root 16856 f.... httpd root 16876 f.... httpd root 16877 f.... httpd root 16942 f.... httpd root 16943 f.... httpd root 16944 f.... httpd root 16945 f.... httpd root 16946 f.... httpd root 17140 f.... httpd ça sent mauvais non ? |
| netswitch | ok, je vais regarder a tout ça ! merci
|
| becket | Si tu veux utiliser fuser, ajoute -v, fuser -v -n tcp 10 Sinon tu peux utiliser lsof lsof -i:10 ce que nmap ne te dis pas ( si je veux savoir quel ports sont ouvert sur ma machine, j'aurais utilisé netstat -at ), c'est qu'il existe l'icmp et l'udp :)) Si je peut te donner un bon conseil, installe ippl, et configurer le de tel maniere qu'il enregistre meme l'udp |
| mean | fuser -n tcp 10 |
| asphro |
|
| netswitch | hello, depuis un ptit temps, j'ai l'impression que le traffic entrant sortant de mon serveur augmente de manière exagérée.. (passé de 100 megs /jour a 500 en 2 jours..) donc, j'ai fait joujou avec nmap et il m'a sorti ça : 10/tcp open unknown 21/tcp open ftp 22/tcp open ssh 80/tcp open http 111/tcp open sunrpc 443/tcp open https 3306/tcp open mysql 10000/tcp open snet-sensor-mgmt c quoi ce port 10 qui est ouvert et 111 ? comment je peux les fermer avec ipchains ? J'ai regardé les logs d'apache et de pureftp, ya rein de louche.. qu'est ce qui pourrait générer du traffic que je ne controle pas ? Ou je peux regarder pour voir quels programmes / deamons utilisent l'interface reseau ? |
