Ubuntu-fr

frenchattempt

intrusion sur mon ubuntu feisty

Salut,

J'ai un portable ubuntu feisty que j'ai prete a qqc de ma famille pas super au point en info
La personne me rend l'ordi en me precisant : "j'ai eu un message bizzare me disant qu'un utilisateur essaye de prendre le controle de mon ordi, alors j'ai clicque et le message est parti."
Petit soucis la personne ne sait plus ou elle a clicquee....
L'ordi a ete ferme quelques minutes apres la boite de dialogue bizzare.

Comment je fait pour voir si oui ou non il y a eu intrusion sur mon ordi?

Pour info j'ai une freebox et a priori j'ai aucun port ouvert sur ma freebox.
Sur l'ordi je n'ai ouvert aucun port manellement.
Comme appli à distance, je n'ai que terminal server client et ssh client.

J'ai regarde les logs /etc/vat/auth.log, mais je ne sais pas quoi chercher en fait...

Merci de votre aide

mirmidon

Re : intrusion sur mon ubuntu feisty

Salut frenchattempt,

Ce n'est rien,

Il est quasiment impossible qu'un message comme cela ai été affiché sur ton ordinateur !

Personne ne peut s'être connecté dans l'absolu :
- Si tu n'as pas touché à ton iptable,
- Si la personne de ta famille n'avais pas ton code ou qu'elle s'est connectée avec un autre compte qui n'a pas les droits d'administration.

Après, il y a toujours des possibilités mais elles sont pas compatibles avec le message qu'a reçu le membre de ta famille !

Je connais un message similaire, mais il faut avoir paramétré un dispositif de prise de contrôle à distance, ce qui n'est pas une mince affaire, surtout si tu as une Freebox !

Déjà, il faudrait avoir activer la fonction "routeur" de la Freebox par internet...

Finalement, je pense à un canular

A bientôt.

---

$ sudo make plaisir
Quand l'informatique redevient un plaisir.

The Ubuntu Counter Project - user number #10290

lebendre

Re : intrusion sur mon ubuntu feisty

Petite question: est-ce que tu as prêté l'ordi à un pro-windows en lui disant "Tu verras, linux c'est super-top-cool-génial, et en plus c'est très sécurisé, pas de virus, pas de problème!!!"
Si c'est le cas, à mon avis c'est juste un petit rigolo qui a voulu te faire peur

frenchattempt

Re : intrusion sur mon ubuntu feisty

merci de vos reponses.

mirmidon,
- la personne s'est loggue avec ma session (donc pas du root) et n'a pas retapé mon mot de passe (donc pas de sudo)
- j'ai deja pris la main a distance sur cet ordi avec tlc en reseau local. Ca aurrait pu changer mon iptable ? Comment je fais pour regarder les logs de tlc et verifier mon iptable?

lebendre,
La personne qui a utilisé l'ordi est vraiment pas douée en info et pas toute jeune, donc pas de canular volontaire. Par contre elle a pas du bien lire le message ou le lire en diagonale et me retranscrire un truc erroné.

ps  pur l'histoire la personne en question, c'est ma maman qui a decouvert l'info il y a 6 mois environ avec ubuntu

Dernière modification par frenchattempt (Le 05/06/2007, à 16:40)

mirmidon

Re : intrusion sur mon ubuntu feisty

Tu veux plutôt dire vnc, non ?

Si tu as bien un logiciel de prise de contrôle à distance alors ce n'est pas un canular, le message est bien réel !

Il faut alors regarder dans les logs du dis logiciel.

---

$ sudo make plaisir
Quand l'informatique redevient un plaisir.

The Ubuntu Counter Project - user number #10290

mirmidon

Re : intrusion sur mon ubuntu feisty

Un petit conseil qui me viens à l'esprit :

Tu devrais faire un test en aveugle en redémarrant ton ordinateur sous Ubuntu et en t'identifiant comme l'a fait ta mère, puis tu utilises l'ordinateur comme l'aurais fait ta mère aussi. Il est possible qu'il y ait un message automatique au démarrage du système ou lors du lancement d'un programme !

---

$ sudo make plaisir
Quand l'informatique redevient un plaisir.

The Ubuntu Counter Project - user number #10290

frenchattempt

Re : intrusion sur mon ubuntu feisty

Mrimidon,
j'ai relance l'ordi et j'ai pas vu de message ...

J'ai verifie firestarter et les seuls modificiations autorisent les hotes du reseau local en ssh et nfs.

en fait le programme de "application/internet/terminal server client" gere le protocole vnc. Mais je trouve pas les logs pour vnc, c'est ou?

Comment je peux savoir si qqc a essaye et reussi a se connecter a distance sur mon ordi ?

C'est possible que la freebox ait essayer de se connecter ?
Si les ports freebox sont fermes, comment qqc aurrait pu se connecter de l'exterieur?

A votre avis, il faut tout reformater pour eviter la contamination des autres ordi du reseau? ? ?

mirmidon

Re : intrusion sur mon ubuntu feisty

Ne t'inquiète pas.

Apparemment les logs sont dans ton dossier /home/ton_nom/.vnc
C'est un fichier caché puisque son nom commence par un point.
Ce sont les fichiers *.log.

Pour ton réseau, il n'y a que 3 explications :
- connexion de l'ordinateur sur lui-même.
- connexion depuis un autre ordinateur du réseau par connexion filaire.
- connexion depuis un autre ordinateur du réseau par connexion wifi (encore faut-il avoir activé l'option par Internet).

A plus et bonne soirée.

---

$ sudo make plaisir
Quand l'informatique redevient un plaisir.

The Ubuntu Counter Project - user number #10290

frenchattempt

Re : intrusion sur mon ubuntu feisty

mirmidon
merci de ton aide, comme je suis en raze campagne et a part si une vache ou une poule se lance dans le hack, je penche sur une connection de l'ordinateur sur lui meme, les autres ordi etant offline au moment des faits...
ca doit pas etre bien grave, l'erreur devant venir de la panique d'une utilisatrice debutante...

mirmidon

Re : intrusion sur mon ubuntu feisty

Bonjour frenchattempt,

C'est surement çà !

Ne t'inquiète pas pour ta sécurité si tu as correctement tout configuré il n'y a pas grand chose à craindre. Ce n'est pas facile de pirater un système d'information et ce n'est pas réservé à tout le monde non plus. Pour preuve, ce n'est déjà pas facile d'installer correctement certaines choses en ayant tous les droits sur une machine alors le faire sans les avoir...

Et puis, il suffit de faire des sauvegardes régulières de toutes les données que tu ne veux pas perdre sur un support optique, comme çà plantage, piratage et autres joyeusetés deviendrons moins catastrophiques. Surtout que ce n'est pas compliqué de ré-installer Ubuntu, tu peux même générer un script dans Synaptics qui te ré-installera correctement tous les programmes que tu avais choisi !

La vie est belle si on prend les devants !

Bonne continuation et à bientôt.

---

$ sudo make plaisir
Quand l'informatique redevient un plaisir.

The Ubuntu Counter Project - user number #10290

LeKing56

Re : intrusion sur mon ubuntu feisty

Dans le même style, j'avais activé l'accès au bureau à distance dans les préférences en demandant confirmation pour un ami mais après que lui soit venu sur ma machine j'ai eu plusieurs demandes de confirmation qui ne venaient pas de lui ! J'ai refusé à chaque fois et depuis j'ai coupé cette possibilité. Alors je me demandais s'il n'y avait pas des gens qui traquaient les ordis qui utilisent vnc pour aller un peu foutre le bordel...

vinzdrance2

Re : intrusion sur mon ubuntu feisty

Je pense tout simplement que c'est bien moins compliqué que ça,

vous n'avez jamais remarqué des pop ups qui sortent ce genre de message sur internet, et qui nous redirigent quand on clique sur ok...

sous windows il y en a tres souvent, et ca m'est deja arrivé une ou deux fois sous linux, donc ce que tu peux faire c voir sur quel site elle aurait pu surfer, mais c'est le genre de "faux messageé systeme en pop up. je pense que c plutot ça car je ne vois pas comment autrement.

xens

Re : intrusion sur mon ubuntu feisty

+1 vinzdrance2

j'ai souvent eu ce genre de message sur certains sites bidons, tu as un pop-up qui s'ouvre style "votre ordinateur court un grave danger blablabla cliiquez sur blablabla pour éviter cela".

akuma

Re : intrusion sur mon ubuntu feisty

+1 J'allais suggérer la même chose

ben13

Re : intrusion sur mon ubuntu feisty

oui je penche aussi pour cette explication
la solution , c'est d'utiliser l'extention firefox " no script" quand on va surfer sur certains sites bourré de javascript douteux

---

Ubuntu 12.04.01 LTS 64 Bits.

mirmidon

Re : intrusion sur mon ubuntu feisty

Même si c'est la explication qui m'ai venu à l'esprit.

N'oubliez pas qu'il a VNC installé sur son poste

---

$ sudo make plaisir
Quand l'informatique redevient un plaisir.

The Ubuntu Counter Project - user number #10290

LeKing56

Re : intrusion sur mon ubuntu feisty

Je ne pense pas que ça soit ça. C'est lié à aucune pub, c'est simplement une connexion vnc.

frenchattempt

Re : intrusion sur mon ubuntu feisty

effectivement apres vos postes et un petit tour sur d'autres forums, je penche aussi pour une connexion vnc non désirée...
Ce qui m'etonne c'est que ma freebox n'a pas de port ouvert....
et que dans firestarter je n'ai ouvert que les ports nfs et ssh. Et encore ils ne sont ouvert que sur le réseau local...

LeKing56

Re : intrusion sur mon ubuntu feisty

J'ai du nouveau. J'ai essayé de laisser mon bureau accessible par tout le monde, c'est-à-dire sans demander de mot de passe (dans préférences -> bureau à distance), mais avec confirmation. Puis j'ai bien eu des demandes d'accès. J'ai essayé à mon tour de me connecter sur ces adresses mais rien. Ensuite j'ai fait un scan et j'ai vu que les personnes venaient de différents endroits, mais la plupart du temps c'était lié à une société de network, bizarre

Je poursuis le test en cette fois mettant un petit mot de passe simple. Je suis curieux de voir s'il y aura encore des demandes d'accès. Cependant, je vous demanderais aussi d'essayer. À mon avis ce n'est pas un truc à prendre à la légère !

frenchattempt

Re : intrusion sur mon ubuntu feisty

salut leking
as tu un routeur configuré pour laisser passer les connections vnc?
Sur ma freebox, je n'ai ouvert aucun port et pourtant j'ai bien eu une demande non sollicité venant de l'exterieur (j'ai qu'un seul ordi connecte sur la freebox)
C'est normal qu'un routeur laisse passer ce genre de connection par defaut?
Existe-t-il un moyen de les bloquer ?

LeKing56

Re : intrusion sur mon ubuntu feisty

Ce n'est pas normal. Chez moi le port sur mon routeur est bien ouvert (il s'agit du port 5900) car j'utilise parfois le partage de bureau avec des amis.

Mais en me documentant un peu sur des trojans, j'ai vu qu'il était possible à certaines applications de traquer des ports ouverts, et je crois qu'il y a certains ports par défaut qui sont constamment ouverts. Donc il y a sûrement quelqu'un qui a tenté de s'infiltrer par ce moyen...

theoxyd

Re : intrusion sur mon ubuntu feisty

salut leking
as tu un routeur configuré pour laisser passer les connections vnc?
Sur ma freebox, je n'ai ouvert aucun port et pourtant j'ai bien eu une demande non sollicité venant de l'exterieur (j'ai qu'un seul ordi connecte sur la freebox)
C'est normal qu'un routeur laisse passer ce genre de connection par defaut?
Existe-t-il un moyen de les bloquer ?

Si la freebox est en bridge (cad: pas en routeur) je pense que ca marche quand même ...
A essayer;)

DAL

Re : intrusion sur mon ubuntu feisty

Bon, ce sujet parle de la même chose donc, pas la peine d'en re-creer un nouveau...

Je viens d'être victime de la même chose : une intrusion VNC

Je me sers de VNC tous les jours pour me connecter à  mon serveur depuis le boulot.

Ok, je dois bien avouer que VNC, on le sait est un gruyère et que mon mot de passe n'est pas particulièrement compliqué (je me connecte depuis plusieurs ordis différents dans la même journée)

Aussi, quelle ne fût pas ma surprise de voir le-dit message : "Un autre utilisateur contrà´le actuellement votre ordinateur..."

Evidemment, j'ai eu le temps de le kicker très TRES rapidement

Voici donc ma question : o๠sont donc les logs du bureau à  distance ?
J'ai bien un répertoire caché "vnc" mais il est entièrement vide.
Mais, je doute que mon ubuntu préférée ne "logue" rien.

Quelqu'un aurait-il une idée ?

(var/log/ est vide de vnc aussi)

frenchattempt

Re : intrusion sur mon ubuntu feisty

theoxyd,
ma freebox est effectivement en routeur, car on est plusieur a pouvoir utiliser le reseau

DAL,
Petite question bete, tu n'arrai pas laisse une session vnc ouverte sur un de tes autres ordi ? ? T'as fait un who pour voir qui etait loggé?
Essaie de regarder tes auth.log pour voir les connections...
Comme toi,  je n'ai pas trouvé les log de connection vnc

Comme solution de securite, je n'utilise plus vnc mais ssh et j'ai entré dans le routeur les adresses mac des ordi succeptibles de se connecter.

Ocenis64

Re : intrusion sur mon ubuntu feisty

Salut à  tous !

Je viens de vous lire et me permets de réagir.

Tout le monde n'est pas sans savoir qu'il y a beaucoup de petits rigolos sur la toile.
En effet, surtout en ayant une ip fixe, on peut se dire un peu plus tracable sur le net.
En scanant simplement vos IPs afin de trouver les ports ouverts, on peut se rendre compte que tel ou tel port est ouvert.
C'est d'ailleurs pourquoi on précaunise de fermer le port 5900.

J'ai aussi vu que tu avais le port 22 d'ouvert et suppose alors que tu as openSSH d'installé. Si tu as lu le tuto de la doc ( vnc ), tu verras alors qu'il est possible de te connecter pour la psie de main de ton bureau, sur le port 22.

Pour preuve, un modo du site pourrait t'envoyer le meme message en recuperant ton IP.
Jusqu'à  là , rien de grave, tu n'auras que ce message à  l'ecran.

Il reste quand meme à  craquer le mot de passe et là , crois moi, ca se complique !
Pour parer à  ce genre d'attaque, utilise simplement fail2ban .

Ceci dit, si c'est simplement le fait de pouvoir utiliser ton bureau à  distance qui te gene (maintenant que tu as désactivé la prise en main de VNC), sache que tu peux quand meme l'activer, en toute securité, à  distance, en utilisant SSH et vino-preference.