Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 07/05/2013, à 23:15

jacques06

je crois que ca sent pas bon...

depuis hier je ne vois plus le message m'indiquant la source et l'heure de la dernière connexion.
du coup premier reflexe je fais un petit netstat et voila ce que je vois en faisant un commande netstat...
je pense que 2 personnes sont sur ma machine et qu'elle doit être hackée, mais les adresses ip données en reverse ont l'air bidon (iptables et cutter ne changent rien..) (Anice c'est moi.... les autres connait pas et ils n'ont rien a faire la.
je ne vois rien dans les fichiers de log...
en théorie (oui je sais mais mes connaissances sont assez minime dans le domaine des firewal) je suis protégé par défaut via le firewal fourni avec le vds amen... mais il y a d'autres failles sur la machine : plesk, pour commencer...
comment me débarrasser de ces cancrelats?
une idée /piste/ kit de survie?

root@vds-xxxxxx:/etc/rc0.d# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost.localdo:60705 localhost.localdom:smtp TIME_WAIT
tcp        0      0 localhost.localdo:33820 localhost.locald:domain TIME_WAIT
tcp        0      0 localhost.localdo:33607 localhost.locald:domain TIME_WAIT
tcp        0      0 vds-xxxxxxxx.amen-p:53618 mangoo.webkazan.ru:12   ESTABLISHED
tcp6       0    132 vds-xxxxxxxxx.amen-pro:ssh ANice-754-1-63-16:60784 ESTABLISHED
tcp6       0    720 vds-xxxxxxxxx.amen-pro:ssh 182.252.177.143%5:60356 ESTABLISHED
udp        0      0 localhost.localdo:52462 localhost.localdo:52462 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ]         DGRAM                    3929081454 @/org/kernel/udev/monitor
unix  2      [ ]         DGRAM                    3929081436 @/org/kernel/udev/udevd
unix  8      [ ]         DGRAM                    3929082536 /dev/log
unix  3      [ ]         STREAM     CONNECTED     3947005149
unix  3      [ ]         STREAM     CONNECTED     3947005148
unix  3      [ ]         STREAM     CONNECTED     3946888389
unix  3      [ ]         STREAM     CONNECTED     3946888388
unix  3      [ ]         STREAM     CONNECTED     3946888341
unix  3      [ ]         STREAM     CONNECTED     3946888340
unix  3      [ ]         STREAM     CONNECTED     3946888330
unix  3      [ ]         STREAM     CONNECTED     3946888329
unix  3      [ ]         STREAM     CONNECTED     3946888082
unix  3      [ ]         STREAM     CONNECTED     3946888081
unix  3      [ ]         STREAM     CONNECTED     3946888073
unix  3      [ ]         STREAM     CONNECTED     3946888072
unix  3      [ ]         STREAM     CONNECTED     3946887971
unix  3      [ ]         STREAM     CONNECTED     3946887970
unix  3      [ ]         STREAM     CONNECTED     3946878468
unix  3      [ ]         STREAM     CONNECTED     3946878467
unix  3      [ ]         STREAM     CONNECTED     3946878243
unix  3      [ ]         STREAM     CONNECTED     3946878242
unix  2      [ ]         DGRAM                    3943740509
unix  3      [ ]         STREAM     CONNECTED     3929099605
unix  3      [ ]         STREAM     CONNECTED     3929099604
unix  2      [ ]         DGRAM                    3929098569
unix  2      [ ]         DGRAM                    3929096275
unix  2      [ ]         DGRAM                    3929095953
unix  2      [ ]         DGRAM                    3929083390
unix  2      [ ]         DGRAM                    3929082702

Dernière modification par jacques06 (Le 07/05/2013, à 23:16)


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#2 Le 08/05/2013, à 12:26

jacques06

Re : je crois que ca sent pas bon...

bon evidement mon serveur est un gruyère (ou plutot un enmental)
reste a savoir s'il etait comme ca ou s'il l'est devenu grâce a vilain.
toujours est il que vilain reste accroché même si je redémarre le serveur...
je me dit qu'il doit avoir qquechose dans le init.d, et je grep l'ip le hostname etc... dans /etc/, dans les rc*/d  et ... que d'ale..

il doit pourtant bien être qque part pour se lancer au demarage, non? ou alors c'est un programe compilé...
Des idées?
autre probleme qui me fait dire que mon serveur est un emental : iptables ne renvoie aucune regle... c'est normal docteur? et mon interfce plesk me dit qu'il ne peut pas ecrire dans iptables...
peut être que vilain a fait qque chose de ce coté la aussi?

donc en attendant lundi... (et oui long WE), ou je vais pouvoir demander a un copain sysadmin pro de regarder ce qui se passe, si qqunn a des pistes, je suis preneur...


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#3 Le 08/05/2013, à 16:41

jacques06

Re : je crois que ca sent pas bon...

bon reinsatalation de la derniere version de plesk, mise a jour de tous les logiciels de la machine...
l'interface de firewal de plesk  l'air de fonctinner, et maintenant j'ai ça...

root@vds-xxxxxxxxx:/home/ts# iptables --list
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8880
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  localhost.localdomain  anywhere            tcp dpt:ssh
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:ssh
ACCEPT     tcp  --  192.168.0.0/16       anywhere            tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere            tcp dpt:submission
DROP       tcp  --  anywhere             anywhere            tcp dpt:smtp
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssmtp
DROP       tcp  --  anywhere             anywhere            tcp dpt:pop3
DROP       tcp  --  anywhere             anywhere            tcp dpt:pop3s
DROP       tcp  --  anywhere             anywhere            tcp dpt:imap2
DROP       tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:poppassd
DROP       tcp  --  anywhere             anywhere            tcp dpt:poppassd
ACCEPT     tcp  --  localhost.localdomain  anywhere            tcp dpt:mysql
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:mysql
DROP       tcp  --  anywhere             anywhere            tcp dpt:mysql
ACCEPT     tcp  --  localhost.localdomain  anywhere            tcp dpt:postgresql
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:postgresql
DROP       tcp  --  anywhere             anywhere            tcp dpt:postgresql
DROP       tcp  --  anywhere             anywhere            tcp dpt:9008
DROP       tcp  --  anywhere             anywhere            tcp dpt:9080
ACCEPT     udp  --  172.20.0.0/24        anywhere            udp dpt:netbios-ns
ACCEPT     udp  --  172.20.0.0/24        anywhere            udp dpt:netbios-dgm
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:netbios-ssn
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-ns
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm
DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
DROP       udp  --  anywhere             anywhere            udp dpt:domain
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     icmp --  localhost.localdomain  anywhere            icmp type 8 code 0
ACCEPT     icmp --  172.20.0.0/24        anywhere            icmp type 8 code 0
DROP       icmp --  anywhere             anywhere            icmp type 8 code 0
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

ca 'a l'air mieux (bon pour le ftp c'est normal, mais c'est temporaire le temps de mettre a jour un de mes sites web)

le pb c'est que je n'arrive pas a me dearasser du vilain ruskof...

:/home/ts# netstat --numeric-users
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 62.193.XXX.XXX:45009     89.111.190.99:12        ESTABLISHED

a.k.a

 netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 vds-XXXXXXX.amen-p:45009 mangoo.webkazan.ru:12   ESTABLISHED
tcp        0    216 172.20.0.1:ssh          172.20.0.10:59027       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57896       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57895       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57894       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57893       ESTABLISHED
udp        0      0 localhost.localdo:55972 localhost.localdo:55972 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ]         DGRAM                    4169164462 @/org/kernel/udev/monitor
unix  9      [ ]         DGRAM                    4169165664 /dev/log
unix  2      [ ]         DGRAM                    4169164443 @/org/kernel/udev/udevd
unix  2      [ ]         DGRAM                    4172228059 /opt/psa/var/modules/firewall/safeact.confirm
unix  2      [ ]         DGRAM                    4173880359
unix  3      [ ]         STREAM     CONNECTED     4173593567 /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     4173593566
unix  2      [ ]         DGRAM                    4173593564
unix  2      [ ]         DGRAM                    4169180994
unix  3      [ ]         STREAM     CONNECTED     4169180232
unix  3      [ ]         STREAM     CONNECTED     4169180231
unix  2      [ ]         DGRAM                    4169179671
unix  2      [ ]         DGRAM                    4169179350
unix  2      [ ]         DGRAM                    4169166549
unix  2      [ ]         DGRAM                    4169165827

bien cutter en compagnie ne marchent pas et comme je le dis plus haut le reboot non plus, vilain semblant avoir mis sur ma machine un programme qui se connecte a lui
je verrais bien une règle iptable qui rejete tout ce qui sort vers lui, mais je ne sais pas comment faire... (oui je sais je suis nul...)

Dernière modification par jacques06 (Le 08/05/2013, à 16:44)


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#4 Le 08/05/2013, à 17:38

lann

Re : je crois que ca sent pas bon...

C'est bizarre : si j'ouvre l'adresse mangoo.webkazan.ru dans le navigateur, je tombe sur plest.

ça ne serait pas ton programme plest qui se connecte en tcp ?

Hors ligne

#5 Le 08/05/2013, à 18:22

sinbad83

Re : je crois que ca sent pas bon...

Salut,
as-tu regardé ce que donne last pour voir les connexions ?
Pour compléter ta protection, il y a fail2ban.


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#6 Le 08/05/2013, à 21:36

jacques06

Re : je crois que ca sent pas bon...

pour le programme plesk, c'et arce que l'attanquent est sur un VDS en russie wink vds qui utilise plsek (peut etre installé lors d'une faille de plesk ui a été comblée en fevrier

last donne : les connections a mes ftp (toutes normales) et a la fin

reboot   system boot  2.6.18-028stab06 Mon May  4 13:39 - 23:48 (22+10:08)
reboot   system boot  2.6.18-028stab06 Mon May  4 13:35 - 13:39  (00:03)

wtmp begins Mon May  4 13:35:35 2009

merci pour votre aide, de mon coté j'ai avancé un peu en mettant des regles plus stricte a mon firewall en excluant carrement et explicitement l'IP (ce qui n'est pas tres propre je trouve...et toutes les connection entrante nons spécifiée (ce qui me pose des pb pour mon VPN...)
et pour l'instant la connection existe toujours, par contre elle est en statut SYN_SENT depuis 2 heures ce qui signifie d'une part que la connection n'a pas pu être établie et d'qutre part qu'un daemon doit tenter de la reactiver au moins toutes les 2 minutes, d'apres ce j'ai lu puisque le statut SYN_SENT devrait passer en time out au bout d'un moment.

je vais regarder fail2ban, je ne connaissais pas..

mais bon au moins je suis seul sur mon serveur...
reste a comprendre ce qui lance cette connection et a l'erradiquer... la je seche un peu... des avis?

Dernière modification par jacques06 (Le 08/05/2013, à 21:39)


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#7 Le 08/05/2013, à 22:37

nesthib

Re : je crois que ca sent pas bon...

À mon avis, sauvegarde tes données et réinstalle ton serveur.

Est-ce que tu peux coller le contenu de /var/log/auth.log quelque part ? Ainsi que le retour de la commande « who ».


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#8 Le 08/05/2013, à 23:40

jacques06

Re : je crois que ca sent pas bon...

who

root     pts/0        May  8 18:59 (anice-754-1-63-167.w86-193.abo.wanadoo.fr) 

c'est moi wink

quand a /var/auth.log...

root@vds~# cat /var/log/auth.log

root@vds-:~#

on a affaire a un petit malin... pas tres discret mais malin wink
j'aimerais bien éviter la réinstallation... tellement de trucs la dessus... pas de grande valeur, mais des heures et des heures a configurer tous mes serveurs.
ce que je souhaite surtout c'est faire en sorte que mon ordi ne devienne pas une boite a spam, un zombie ou un cpu a usage des russes...


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#9 Le 09/05/2013, à 01:10

nesthib

Re : je crois que ca sent pas bon...

Est-ce que tu penses que ton intrus a pu avoir les droits root ? (j'aurais tendance à dire que oui s'il a pu supprimer les logs)
Si c'est le cas, veux-tu prendre le risque d'avoir une porte dérobée sur ta machine qui lui permette de revenir quand il veut ?

Que te donne :

netstat -tn

GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#10 Le 09/05/2013, à 10:25

jacques06

Re : je crois que ca sent pas bon...

vilain est toujours en SYN_SENT smile

# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      1 62.193.196.91:54191     89.111.190.99:12        SYN_SENT # (c'est vilain)
tcp        0    268 62.193.196.91:22        86.193.198.167:57358    ESTABLISHED # (c'est moi)
tcp        0      0 172.20.0.1:5432         172.20.0.10:59899       ESTABLISHED
tcp        0      0 172.20.0.1:5432         172.20.0.10:59898       ESTABLISHED
tcp        0      0 172.20.0.1:5432         172.20.0.10:59897       ESTABLISHED
tcp        0      0 172.20.0.1:5432         172.20.0.10:59896       ESTABLISHED

maintenant il faut trouver la backdoor... peut être en cherchant ce qui efface le auth.log? y a t'il un moyen de surveiller les accès a un fichier donné sous debian?
sinon j'ai ajouté dans la cron le script suivant : toutes les 2 minutes :
date >> ~/chasse_au_vilain
netstat -tn >> ~/chasse_au_vilain
je vais essayer de faire un petit script apres pour me prévenir en cas de truc bizarre (c'est marrant, ca faisait tres longtemps que j'avais pas codé, et c'est comme le vélo, a la reprise c'est difficile, mais ca revient vite smile )


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#11 Le 09/05/2013, à 14:34

Pseudo supprimé

Re : je crois que ca sent pas bon...

sudo lsof -i:54191

54191 c'est transmission. normal à première vue.
est-ce que tu fais du torrent P2P ?

#12 Le 09/05/2013, à 15:01

nesthib

Re : je crois que ca sent pas bon...

Est-ce que tu peux poster le contenu de ton /etc/ssh/sshd_config ?
Et lance la commande suivante pour empêcher la suppression d'auth.log :

chattr +a /var/log/auth.log

le fichier ne pourra qu'être accessible en écriture pour l'ajout de données.
Tu peux vérifier que le drapeau « a » est fonctionnel avec la commande :

lsattr /var/log/auth.log

Pense à supprimer l'attribut quand tu auras fini ton enquête :

chattr -a /var/log/auth.log

Tu peux également vérifier les programmes qui utilisent auth.log avec :

lsof /var/log/auth.log

et de manière automatique :

watch lsof /var/log/auth.log

GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#13 Le 09/05/2013, à 17:38

jacques06

Re : je crois que ca sent pas bon...

super merci beaucoup big_smile je te tiens au courant
Le fichier demandé :

 cat  /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

Dernière modification par jacques06 (Le 09/05/2013, à 17:46)


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#14 Le 10/05/2013, à 23:17

jacques06

Re : je crois que ca sent pas bon...

@titouan dsl j'avais pas vu ton message non je ne fais pas de P2P sur cette machine... peut être que je devrais chercher un programme de P2P dans mes installs...
je vais chercher des noms de programmes a chercher smile.


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#15 Le 11/05/2013, à 00:59

nesthib

Re : je crois que ca sent pas bon...

Ton fichier de config explicite bien de créer le log. As-tu essayé les commandes ci-dessus ?

Autre chose, install iftop et lance :

sudo iftop -i eth0

(si eth0 est ton interface réseau), tu pourras surveiller en direct le trafic réseau. Il est normal que ta machine fasse beaucoup d'appels à des serveurs externes, ne panique pas à cause de ça (mises à jour ubuntu, résolution DNS…). Avec la touche « n » tu peux basculer la résolution des noms de domaine pour y voir plus clair.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#16 Le 13/05/2013, à 14:44

nesthib

Re : je crois que ca sent pas bon...

Globalement d'accord avec les remarques d'Ignus, sauf pour le changement de port de ssh. Ça ne sert à rien et ça peut te poser des problèmes a posteriori.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#17 Le 14/05/2013, à 16:10

Haleth

Re : je crois que ca sent pas bon...

je suis protégé par défaut via le firewal

Un firewall ne va jamais te protéger, ni augmenter ta sécurité


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#18 Le 14/05/2013, à 16:26

moko138

Re : je crois que ca sent pas bon...

Haleth a écrit :

Un firewall ne va jamais te protéger, ni augmenter ta sécurité

  Je croyais que c'était sa fonction. Peux-tu expliquer, s'il te plaît ?


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#19 Le 14/05/2013, à 16:28

Haleth

Re : je crois que ca sent pas bon...

Un firewall, ca sert pour modifier les paquets

Plutôt que de refaire un speech:

Allez, comme je suis de bonne humeur ce soir, je vais essayer de t'expliquer un minimum. Imagine qu'un ordinateur est une maison avec plein de fenêtre (que des fenetres, il y a pas de portes). Informatiquement, chaque fenetre est un "port". Quand ton OS démarre (vraiment au début), toutes les fenetres sont fermées.  Essaye de te connecter sur un PC qui n'a pas finit de booter, tu va voir que ça va pas bien se passer.
Ensuite, au fur et à mesure, l'OS lance des logiciels. Par exemple, si tu lance un serveur ftp sur ta machine, cela va probablement "ouvrir" la fenetre numéro 21. En réalité, c'est simplement que le programme "serveur ftp" se met derière la fenetre, et que si quelqu'un tape à cette vitre, il va ouvrir et répondre "oui, je suis un serveur ftp, qu'est ce que vous voulez ?"

Et si c'est un client ftp qui a tapé à la fenêtre, il vont se mettre à discuter ensemble. Voila comment ça marche. Donc "ouvrir" ou "fermer" un port ça ne veut rien dire. Un FW, c'est (entre autre) une clôture que tu met autour de la maison pour empêcher tout le monde de s'approcher. Sauf que si tu laisse personne entrer ou sortir, ton pc, autant débrancher le câble réseau hein... Bref, pas de firewall activé sous ubuntu par défaut parce que ça sert à rien.  Le gars qui est, par exemple, derrière la fenêtre 21 est suffisamment costaux pour péter la gueule d'un gars qui voudrait entrer dans la baraque par cette fenêtre si il fait pas parti des gens autorisé à entrer. Et c'est pareil pour chaque gars derrière chaque fenêtre. LE fait de mettre une clôture devant n'y changera strictement rien, car si tu attend des invités, il va bien falloir les laisser entrer de toute façon, et c'est pas la clôture qui vérifiera leur identité.

En espérant que tu ai un peu mieux compris...

Hoper


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#20 Le 14/05/2013, à 17:34

nesthib

Re : je crois que ca sent pas bon...

C'est une analogie un peu réductrice, le pare feu peut très bien jouer le rôle de « gardien » et vérifier la provenance des paquets, la quantité de paquets entrant… tel que tu le décris un pare-feu ne sert à rien, ce qui est loin de la réalité.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#21 Le 14/05/2013, à 19:54

moko138

Re : je crois que ca sent pas bon...

@Hoper et nesthib : merci !


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#22 Le 15/05/2013, à 20:22

Haleth

Re : je crois que ca sent pas bon...

Tout à fait, tu peux faire ca.

De même que je peux mettre une pancarte "défense d'entrer" devant ma porte ouverte.
De même que je peux mettre une serrure sur un mur de béton, pour empêcher que des méchands entrent par là.

Je peux, mais au final, ca change quoi ?
Bon, y'a un grand intérêt, c'est l'effet placebo sur les néophytes, m'enfin ..

Éxtrait du man:

   CLUSTERIP
       This  module  allows  you  to  configure a simple cluster of nodes that
       share a certain IP and MAC address without an explicit load balancer in
       front  of  them.   Connections  are  statically distributed between the
       nodes in this cluster.

       --new  Create a new ClusterIP.  You always have  to  set  this  on  the
              first rule for a given ClusterIP.

       --hashmode mode
              Specify  the  hashing  mode.   Has  to be one of sourceip, sour‐
              ceip-sourceport, sourceip-sourceport-destport.

       --clustermac mac
              Specify the ClusterIP MAC address. Has to be a link-layer multi‐
              cast address

       --total-nodes num
              Number of total nodes within this cluster.

       --local-node num
              Local node number within this cluster.

       --hash-init rnd
              Specify the random seed used for hash initialization.

Iptables, c'est dla balle!

Dernière modification par Haleth (Le 15/05/2013, à 20:40)


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#23 Le 15/05/2013, à 22:35

Haleth

Re : je crois que ca sent pas bon...

Ah daccord je peux la forcer et entrer

Si tu as trouvé un bug dans le kernel, n'hésite pas à le remonter. Sinon, ce que tu dit est impossible, par définition smile

Reste également à faire tes règles pour le protocole UDP... Qui est utilisé pour le réseau local en général!

UDP = DNS & NFS
Pas spécialement en locale (quoique NFS.. m'enfin)

Il suffit de passer outre le noyau avec des librairies pour récupérer certains paquets! Mais pour arriver à ça, il faut être doué...

Tu veux dire: lire des paquets sans le kernel ? Donc accéder aux dev sans le kernel ? Intéressant.
Note que si le méchand utilise des libs dans ta machine, tu es déjà troué, c'est trop tard;

En passant, si tu pouvais m'expliquer l'intérêt d'installer et de configurer un service, pour lui couper la communication derrière .. ce serait gentil .. d'autant que la plupart des trucs permettent de configurer l'interface de communication (bind), donc ton histoire n'est même pas valable dans l'idée "de restreindre un service pour le lan"

NB: moins d'affirmation, moins de dogmes, plus d'explications & d'arguments, merci


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#24 Le 17/05/2013, à 14:33

jacques06

Re : je crois que ca sent pas bon...

nesthib a écrit :

Globalement d'accord avec les remarques d'Ignus, sauf pour le changement de port de ssh. Ça ne sert à rien et ça peut te poser des problèmes a posteriori.

heu je ne vois pas les remarques d'ignus.
par contre il doit bien y avoir un defaut de protection qque part..
j'ai le même type de connection ouverte sur le port 12 (???) de la machine distante, mais sur une autre IP...
et bien sur cutter ne fonctionne pas...

root@vds-847181:~# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 62.193.196.91:41608     87.106.144.155:12       ESTABLISHED
tcp        0      0 172.20.0.1:22           172.20.0.10:49637       ESTABLISHED
tcp        0    400 172.20.0.1:22           172.20.0.10:51636       ESTABLISHED

c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne

#25 Le 17/05/2013, à 14:53

jacques06

Re : je crois que ca sent pas bon...

bon losf -i m'ayant donné le PID et ayant bloue l'ip
apres ca :

root@vds-847181:~# lsof -i:41608
COMMAND   PID   USER   FD   TYPE    DEVICE SIZE NODE NAME
pdflush 52520 psaadm    4u  IPv4 811084844       TCP vds-847181.amen-pro.com:41608->aqua-vida.es:12 (ESTABLISHED)
root@vds-847181:~# kill 52520

j'ai de nouveau ca :

root@vds-847181:~# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:2912          127.0.0.1:54954         TIME_WAIT
tcp        0      0 127.0.0.1:54954         127.0.0.1:2912          TIME_WAIT
tcp        0      0 127.0.0.1:44736         127.0.0.1:53            TIME_WAIT
tcp        0      1 62.193.196.91:54557     87.106.144.155:12       SYN_SENT
tcp        0      0 172.20.0.1:22           172.20.0.10:49637       ESTABLISHED
tcp        0      0 172.20.0.1:22           172.20.0.10:51636       ESTABLISHED
tcp        0    664 172.20.0.1:22           172.20.0.10:51734       ESTABLISHED

ce qui est plus propre mais toujours non satisfaisant. je ne vais pas supprimer les connections IP par IP...

psaadm est un compte interne normalement, non?


c'est en codant n'importe quoi qu'on devient n'importe qui

Hors ligne