<![CDATA[Forum Ubuntu-fr.org / Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?id=1239101 Fri, 29 Mar 2013 20:29:56 +0000 FluxBB <![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061861#p13061861 Je viens de penser que j'ai aussi installé openfire et vu que dans la liste du lien que j'ai donné y'a des trucs en rapport marqué c'est peut-être ça en fait. Fausse alerte alors.

]]>
Fri, 29 Mar 2013 20:29:56 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061861#p13061861
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061811#p13061811 C'est une connexion en cours de fermeture (en attente du dernier acquittement de la conversation) : le programme qui communiquait peut déjà s'être arrêté...
http://www.delafond.org/traducmanfr/man … .html#lbAM

]]>
Fri, 29 Mar 2013 20:26:30 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061811#p13061811
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061791#p13061791 Ça correspond à quoi LAST_ACK ?

]]>
Fri, 29 Mar 2013 20:25:29 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061791#p13061791
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061781#p13061781 Désolé je n'avais pas fait gaffe que c'était en "LAST_ACK" et non en "ESTABLISHED"...

]]>
Fri, 29 Mar 2013 20:23:10 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061781#p13061781
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061721#p13061721 tiramiseb a écrit :

En tant que root tu devrais obtenir le nom de processus. Par conséquent, si tu ne peux pas utiliser sudo (qui est bel et bien présent sur Debian, mais pas configuré de la même manière que sur Ubuntu), bah exécute netstat -tanpu directement en root.

Pourtant j'y suis bien en root hmm

root@serveur:~# netstat -tanpu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 0.0.0.0:1194            0.0.0.0:*               LISTEN      1828/openvpn    
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1681/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      890/portmap     
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      2007/perl       
tcp        0      0 0.0.0.0:33684           0.0.0.0:*               LISTEN      902/rpc.statd   
tcp        0      0 192.168.1.2:53          0.0.0.0:*               LISTEN      1406/named      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1406/named      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1893/sshd       
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      1868/(squid)    
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1406/named      
tcp        0      0 127.0.0.1:3306          127.0.0.1:53710         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53711         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53708         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53712         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53709         ESTABLISHED 1681/mysqld     
tcp        0      0 192.168.1.2:22          192.168.1.3:40350       ESTABLISHED 4368/sshd: root@not
tcp        0      0 192.168.1.2:22          192.168.1.3:48533       ESTABLISHED 5989/0          
tcp6       0      0 :::139                  :::*                    LISTEN      1404/smbd       
tcp6       0      0 :::5229                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::80                   :::*                    LISTEN      1430/apache2    
tcp6       0      0 :::7443                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::5269                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::22                   :::*                    LISTEN      1893/sshd       
tcp6       0      0 :::443                  :::*                    LISTEN      1430/apache2    
tcp6       0      0 :::445                  :::*                    LISTEN      1404/smbd       
tcp6       0      0 :::7070                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::7777                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::9090                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::9091                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::5222                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::5223                 :::*                    LISTEN      1746/java       
tcp6       0      0 192.168.1.2:443         192.168.1.3:39432       ESTABLISHED 4988/apache2    
tcp6       1      1 192.168.1.2:50662       207.223.240.70:80       LAST_ACK    -               
tcp6       0      0 127.0.0.1:53712         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 127.0.0.1:53709         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 192.168.1.2:445         192.168.1.3:60983       ESTABLISHED 5179/smbd       
tcp6       0      0 192.168.1.2:445         192.168.1.3:60902       ESTABLISHED 5171/smbd       
tcp6       0      0 127.0.0.1:53711         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 192.168.1.2:445         192.168.1.3:59980       ESTABLISHED 5005/smbd       
tcp6       0      0 127.0.0.1:53708         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 192.168.1.2:443         192.168.1.3:39614       ESTABLISHED 4689/apache2    
tcp6       1      1 192.168.1.2:59951       207.223.240.70:80       LAST_ACK    -               
tcp6       0      0 127.0.0.1:53710         127.0.0.1:3306          ESTABLISHED 1746/java       
udp        0      0 192.168.1.2:53          0.0.0.0:*                           1406/named      
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1406/named      
udp        0      0 0.0.0.0:3130            0.0.0.0:*                           1868/(squid)    
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1534/dhcpd      
udp        0      0 0.0.0.0:45388           0.0.0.0:*                           1868/(squid)    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1492/avahi-daemon: 
udp        0      0 0.0.0.0:55151           0.0.0.0:*                           902/rpc.statd   
udp        0      0 0.0.0.0:111             0.0.0.0:*                           890/portmap     
udp        0      0 0.0.0.0:54648           0.0.0.0:*                           1492/avahi-daemon: 
udp        0      0 192.168.1.255:137       0.0.0.0:*                           1372/nmbd       
udp        0      0 192.168.1.2:137         0.0.0.0:*                           1372/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1372/nmbd       
udp        0      0 192.168.1.255:138       0.0.0.0:*                           1372/nmbd       
udp        0      0 192.168.1.2:138         0.0.0.0:*                           1372/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1372/nmbd       
udp        0      0 0.0.0.0:654             0.0.0.0:*                           902/rpc.statd   
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           2007/perl       
udp6       0      0 :::5353                 :::*                                1492/avahi-daemon: 
udp6       0      0 :::55201                :::*                                1492/avahi-daemon: 

EDIT  : Je viens de refaire la commande et ce truc a disparu.

]]>
Fri, 29 Mar 2013 20:20:06 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061721#p13061721
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061681#p13061681 Tu as exécuté la commande netstat en utilisateur simple, du coup la dernière ligne, qui devrait indiquer le processus à l'origine de cette connexion, contient "-".

En tant que root tu devrais obtenir le nom de processus. Par conséquent, si tu ne peux pas utiliser sudo (qui est bel et bien présent sur Debian, mais pas configuré de la même manière que sur Ubuntu), bah exécute netstat -tanpu directement en root.

]]>
Fri, 29 Mar 2013 20:16:13 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061681#p13061681
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061641#p13061641 tiramiseb a écrit :

késako ?

C'est marqué tout en bas : Atlassian Bamboo.
Je ne connais pas ce truc, mais tu as probablement installé quelque chose lié à ça.

Avec sudo, ça donne quoi ?

sudo netstat -tanpu

Je ne vois pas ce que c'est non plus (cf message précédent pour les logs installés) et pour le sudo je suis sur debian donc ça marche pas wink

]]>
Fri, 29 Mar 2013 20:13:44 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061641#p13061641
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061061#p13061061 src a écrit :

Comment as-tu vu que "quelqu'un téléchargeait" depuis ton serveur ?
Quels sont les rôles et les applications installées sur ce serveur ?

Les voyants (switch, cpl, box) c'est fait pourquoi ? tongue

Pour ce qui est des appli installées, j'ai apache, bind, squid, samba, ssh

]]>
Fri, 29 Mar 2013 19:33:11 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061061#p13061061
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13061041#p13061041

késako ?

C'est marqué tout en bas : Atlassian Bamboo.
Je ne connais pas ce truc, mais tu as probablement installé quelque chose lié à ça.

Avec sudo, ça donne quoi ?

sudo netstat -tanpu
]]>
Fri, 29 Mar 2013 19:32:14 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13061041#p13061041
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13060941#p13060941 Arf, dommage je ne connaissais pas cette commande hmm sinon effectivement, je viens de la passer et elle donne tout le détail sur les ports et les IP, d'ailleurs je viens de voir un truc bizarre :

tcp6       1      1 192.168.1.2:59951       207.223.240.70:80       LAST_ACK    -          

Et ça me renvoie sur ça : http://207.223.240.70/allPlans.action;j … 526A4D6B1E

késako ?

]]>
Fri, 29 Mar 2013 19:26:44 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13060941#p13060941
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13060871#p13060871 Comment as-tu vu que "quelqu'un téléchargeait" depuis ton serveur ?
Quels sont les rôles et les applications installées sur ce serveur ?

]]>
Fri, 29 Mar 2013 19:21:28 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13060871#p13060871
<![CDATA[Réponse à : Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13060341#p13060341 Aucune idée, car tu as enlevé toute possibilité de comprendre ce qu'il se passait.
Tu aurais dû regarder quels ports étaient ouverts à ce moment-là, avec netstat -tanpu par exemple.

]]>
Fri, 29 Mar 2013 18:43:53 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13060341#p13060341
<![CDATA[Attaque pirate ?]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=13059571#p13059571 Bonjour,

Ce matin j'ai remarqué que quelqu'un (ou quelque chose) téléchargeait sur mon serveur, étonné je vais jeter un coup d’œil dans les logs d'apache et je regarde également le ssh en faisant un sftp-who, mais bizarrement rien n’apparaît. Je décide donc de débrancher le câble ethernet pour couper la connexion, j'attends un peu, je remet et paf ça recommence ! Dans le doute j'ai alors fermé ports sur ma box mais ça continuait toujours. Après ça j'ai rebooté ma box et le serveur et ça c'est arrêté.

Une idée ?

Merci smile

]]>
Fri, 29 Mar 2013 17:12:23 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=13059571#p13059571