#1 Le 07/05/2013, à 23:15
- jacques06
je crois que ca sent pas bon...
depuis hier je ne vois plus le message m'indiquant la source et l'heure de la dernière connexion.
du coup premier reflexe je fais un petit netstat et voila ce que je vois en faisant un commande netstat...
je pense que 2 personnes sont sur ma machine et qu'elle doit être hackée, mais les adresses ip données en reverse ont l'air bidon (iptables et cutter ne changent rien..) (Anice c'est moi.... les autres connait pas et ils n'ont rien a faire la.
je ne vois rien dans les fichiers de log...
en théorie (oui je sais mais mes connaissances sont assez minime dans le domaine des firewal) je suis protégé par défaut via le firewal fourni avec le vds amen... mais il y a d'autres failles sur la machine : plesk, pour commencer...
comment me débarrasser de ces cancrelats?
une idée /piste/ kit de survie?
root@vds-xxxxxx:/etc/rc0.d# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost.localdo:60705 localhost.localdom:smtp TIME_WAIT
tcp 0 0 localhost.localdo:33820 localhost.locald:domain TIME_WAIT
tcp 0 0 localhost.localdo:33607 localhost.locald:domain TIME_WAIT
tcp 0 0 vds-xxxxxxxx.amen-p:53618 mangoo.webkazan.ru:12 ESTABLISHED
tcp6 0 132 vds-xxxxxxxxx.amen-pro:ssh ANice-754-1-63-16:60784 ESTABLISHED
tcp6 0 720 vds-xxxxxxxxx.amen-pro:ssh 182.252.177.143%5:60356 ESTABLISHED
udp 0 0 localhost.localdo:52462 localhost.localdo:52462 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 3929081454 @/org/kernel/udev/monitor
unix 2 [ ] DGRAM 3929081436 @/org/kernel/udev/udevd
unix 8 [ ] DGRAM 3929082536 /dev/log
unix 3 [ ] STREAM CONNECTED 3947005149
unix 3 [ ] STREAM CONNECTED 3947005148
unix 3 [ ] STREAM CONNECTED 3946888389
unix 3 [ ] STREAM CONNECTED 3946888388
unix 3 [ ] STREAM CONNECTED 3946888341
unix 3 [ ] STREAM CONNECTED 3946888340
unix 3 [ ] STREAM CONNECTED 3946888330
unix 3 [ ] STREAM CONNECTED 3946888329
unix 3 [ ] STREAM CONNECTED 3946888082
unix 3 [ ] STREAM CONNECTED 3946888081
unix 3 [ ] STREAM CONNECTED 3946888073
unix 3 [ ] STREAM CONNECTED 3946888072
unix 3 [ ] STREAM CONNECTED 3946887971
unix 3 [ ] STREAM CONNECTED 3946887970
unix 3 [ ] STREAM CONNECTED 3946878468
unix 3 [ ] STREAM CONNECTED 3946878467
unix 3 [ ] STREAM CONNECTED 3946878243
unix 3 [ ] STREAM CONNECTED 3946878242
unix 2 [ ] DGRAM 3943740509
unix 3 [ ] STREAM CONNECTED 3929099605
unix 3 [ ] STREAM CONNECTED 3929099604
unix 2 [ ] DGRAM 3929098569
unix 2 [ ] DGRAM 3929096275
unix 2 [ ] DGRAM 3929095953
unix 2 [ ] DGRAM 3929083390
unix 2 [ ] DGRAM 3929082702
Dernière modification par jacques06 (Le 07/05/2013, à 23:16)
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#2 Le 08/05/2013, à 12:26
- jacques06
Re : je crois que ca sent pas bon...
bon evidement mon serveur est un gruyère (ou plutot un enmental)
reste a savoir s'il etait comme ca ou s'il l'est devenu grâce a vilain.
toujours est il que vilain reste accroché même si je redémarre le serveur...
je me dit qu'il doit avoir qquechose dans le init.d, et je grep l'ip le hostname etc... dans /etc/, dans les rc*/d et ... que d'ale..
il doit pourtant bien être qque part pour se lancer au demarage, non? ou alors c'est un programe compilé...
Des idées?
autre probleme qui me fait dire que mon serveur est un emental : iptables ne renvoie aucune regle... c'est normal docteur? et mon interfce plesk me dit qu'il ne peut pas ecrire dans iptables...
peut être que vilain a fait qque chose de ce coté la aussi?
donc en attendant lundi... (et oui long WE), ou je vais pouvoir demander a un copain sysadmin pro de regarder ce qui se passe, si qqunn a des pistes, je suis preneur...
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#3 Le 08/05/2013, à 16:41
- jacques06
Re : je crois que ca sent pas bon...
bon reinsatalation de la derniere version de plesk, mise a jour de tous les logiciels de la machine...
l'interface de firewal de plesk l'air de fonctinner, et maintenant j'ai ça...
root@vds-xxxxxxxxx:/home/ts# iptables --list
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:8443
ACCEPT tcp -- anywhere anywhere tcp dpt:8880
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:ssh
ACCEPT tcp -- 172.20.0.0/24 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.0.0/16 anywhere tcp dpt:ssh
DROP tcp -- anywhere anywhere tcp dpt:ssh
DROP tcp -- anywhere anywhere tcp dpt:submission
DROP tcp -- anywhere anywhere tcp dpt:smtp
DROP tcp -- anywhere anywhere tcp dpt:ssmtp
DROP tcp -- anywhere anywhere tcp dpt:pop3
DROP tcp -- anywhere anywhere tcp dpt:pop3s
DROP tcp -- anywhere anywhere tcp dpt:imap2
DROP tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- 172.20.0.0/24 anywhere tcp dpt:poppassd
DROP tcp -- anywhere anywhere tcp dpt:poppassd
ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:mysql
ACCEPT tcp -- 172.20.0.0/24 anywhere tcp dpt:mysql
DROP tcp -- anywhere anywhere tcp dpt:mysql
ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:postgresql
ACCEPT tcp -- 172.20.0.0/24 anywhere tcp dpt:postgresql
DROP tcp -- anywhere anywhere tcp dpt:postgresql
DROP tcp -- anywhere anywhere tcp dpt:9008
DROP tcp -- anywhere anywhere tcp dpt:9080
ACCEPT udp -- 172.20.0.0/24 anywhere udp dpt:netbios-ns
ACCEPT udp -- 172.20.0.0/24 anywhere udp dpt:netbios-dgm
ACCEPT tcp -- 172.20.0.0/24 anywhere tcp dpt:netbios-ssn
ACCEPT tcp -- 172.20.0.0/24 anywhere tcp dpt:microsoft-ds
DROP udp -- anywhere anywhere udp dpt:netbios-ns
DROP udp -- anywhere anywhere udp dpt:netbios-dgm
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain
ACCEPT icmp -- localhost.localdomain anywhere icmp type 8 code 0
ACCEPT icmp -- 172.20.0.0/24 anywhere icmp type 8 code 0
DROP icmp -- anywhere anywhere icmp type 8 code 0
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ca 'a l'air mieux (bon pour le ftp c'est normal, mais c'est temporaire le temps de mettre a jour un de mes sites web)
le pb c'est que je n'arrive pas a me dearasser du vilain ruskof...
:/home/ts# netstat --numeric-users
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 62.193.XXX.XXX:45009 89.111.190.99:12 ESTABLISHED
a.k.a
netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 vds-XXXXXXX.amen-p:45009 mangoo.webkazan.ru:12 ESTABLISHED
tcp 0 216 172.20.0.1:ssh 172.20.0.10:59027 ESTABLISHED
tcp 0 0 172.20.0.1:postgresql 172.20.0.10:57896 ESTABLISHED
tcp 0 0 172.20.0.1:postgresql 172.20.0.10:57895 ESTABLISHED
tcp 0 0 172.20.0.1:postgresql 172.20.0.10:57894 ESTABLISHED
tcp 0 0 172.20.0.1:postgresql 172.20.0.10:57893 ESTABLISHED
udp 0 0 localhost.localdo:55972 localhost.localdo:55972 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 4169164462 @/org/kernel/udev/monitor
unix 9 [ ] DGRAM 4169165664 /dev/log
unix 2 [ ] DGRAM 4169164443 @/org/kernel/udev/udevd
unix 2 [ ] DGRAM 4172228059 /opt/psa/var/modules/firewall/safeact.confirm
unix 2 [ ] DGRAM 4173880359
unix 3 [ ] STREAM CONNECTED 4173593567 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 4173593566
unix 2 [ ] DGRAM 4173593564
unix 2 [ ] DGRAM 4169180994
unix 3 [ ] STREAM CONNECTED 4169180232
unix 3 [ ] STREAM CONNECTED 4169180231
unix 2 [ ] DGRAM 4169179671
unix 2 [ ] DGRAM 4169179350
unix 2 [ ] DGRAM 4169166549
unix 2 [ ] DGRAM 4169165827
bien cutter en compagnie ne marchent pas et comme je le dis plus haut le reboot non plus, vilain semblant avoir mis sur ma machine un programme qui se connecte a lui
je verrais bien une règle iptable qui rejete tout ce qui sort vers lui, mais je ne sais pas comment faire... (oui je sais je suis nul...)
Dernière modification par jacques06 (Le 08/05/2013, à 16:44)
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#4 Le 08/05/2013, à 17:38
- lann
Re : je crois que ca sent pas bon...
C'est bizarre : si j'ouvre l'adresse mangoo.webkazan.ru dans le navigateur, je tombe sur plest.
ça ne serait pas ton programme plest qui se connecte en tcp ?
Hors ligne
#5 Le 08/05/2013, à 18:22
- sinbad83
Re : je crois que ca sent pas bon...
Salut,
as-tu regardé ce que donne last pour voir les connexions ?
Pour compléter ta protection, il y a fail2ban.
La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10, HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04
Hors ligne
#6 Le 08/05/2013, à 21:36
- jacques06
Re : je crois que ca sent pas bon...
pour le programme plesk, c'et arce que l'attanquent est sur un VDS en russie vds qui utilise plsek (peut etre installé lors d'une faille de plesk ui a été comblée en fevrier
last donne : les connections a mes ftp (toutes normales) et a la fin
reboot system boot 2.6.18-028stab06 Mon May 4 13:39 - 23:48 (22+10:08)
reboot system boot 2.6.18-028stab06 Mon May 4 13:35 - 13:39 (00:03)
wtmp begins Mon May 4 13:35:35 2009
merci pour votre aide, de mon coté j'ai avancé un peu en mettant des regles plus stricte a mon firewall en excluant carrement et explicitement l'IP (ce qui n'est pas tres propre je trouve...et toutes les connection entrante nons spécifiée (ce qui me pose des pb pour mon VPN...)
et pour l'instant la connection existe toujours, par contre elle est en statut SYN_SENT depuis 2 heures ce qui signifie d'une part que la connection n'a pas pu être établie et d'qutre part qu'un daemon doit tenter de la reactiver au moins toutes les 2 minutes, d'apres ce j'ai lu puisque le statut SYN_SENT devrait passer en time out au bout d'un moment.
je vais regarder fail2ban, je ne connaissais pas..
mais bon au moins je suis seul sur mon serveur...
reste a comprendre ce qui lance cette connection et a l'erradiquer... la je seche un peu... des avis?
Dernière modification par jacques06 (Le 08/05/2013, à 21:39)
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#7 Le 08/05/2013, à 22:37
- nesthib
Re : je crois que ca sent pas bon...
À mon avis, sauvegarde tes données et réinstalle ton serveur.
Est-ce que tu peux coller le contenu de /var/log/auth.log quelque part ? Ainsi que le retour de la commande « who ».
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#8 Le 08/05/2013, à 23:40
- jacques06
Re : je crois que ca sent pas bon...
who
root pts/0 May 8 18:59 (anice-754-1-63-167.w86-193.abo.wanadoo.fr)
c'est moi
quand a /var/auth.log...
root@vds~# cat /var/log/auth.log
root@vds-:~#
on a affaire a un petit malin... pas tres discret mais malin
j'aimerais bien éviter la réinstallation... tellement de trucs la dessus... pas de grande valeur, mais des heures et des heures a configurer tous mes serveurs.
ce que je souhaite surtout c'est faire en sorte que mon ordi ne devienne pas une boite a spam, un zombie ou un cpu a usage des russes...
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#9 Le 09/05/2013, à 01:10
- nesthib
Re : je crois que ca sent pas bon...
Est-ce que tu penses que ton intrus a pu avoir les droits root ? (j'aurais tendance à dire que oui s'il a pu supprimer les logs)
Si c'est le cas, veux-tu prendre le risque d'avoir une porte dérobée sur ta machine qui lui permette de revenir quand il veut ?
Que te donne :
netstat -tn
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#10 Le 09/05/2013, à 10:25
- jacques06
Re : je crois que ca sent pas bon...
vilain est toujours en SYN_SENT
# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 1 62.193.196.91:54191 89.111.190.99:12 SYN_SENT # (c'est vilain)
tcp 0 268 62.193.196.91:22 86.193.198.167:57358 ESTABLISHED # (c'est moi)
tcp 0 0 172.20.0.1:5432 172.20.0.10:59899 ESTABLISHED
tcp 0 0 172.20.0.1:5432 172.20.0.10:59898 ESTABLISHED
tcp 0 0 172.20.0.1:5432 172.20.0.10:59897 ESTABLISHED
tcp 0 0 172.20.0.1:5432 172.20.0.10:59896 ESTABLISHED
maintenant il faut trouver la backdoor... peut être en cherchant ce qui efface le auth.log? y a t'il un moyen de surveiller les accès a un fichier donné sous debian?
sinon j'ai ajouté dans la cron le script suivant : toutes les 2 minutes :
date >> ~/chasse_au_vilain
netstat -tn >> ~/chasse_au_vilain
je vais essayer de faire un petit script apres pour me prévenir en cas de truc bizarre (c'est marrant, ca faisait tres longtemps que j'avais pas codé, et c'est comme le vélo, a la reprise c'est difficile, mais ca revient vite )
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#11 Le 09/05/2013, à 14:34
- Pseudo supprimé
Re : je crois que ca sent pas bon...
sudo lsof -i:54191
54191 c'est transmission. normal à première vue.
est-ce que tu fais du torrent P2P ?
#12 Le 09/05/2013, à 15:01
- nesthib
Re : je crois que ca sent pas bon...
Est-ce que tu peux poster le contenu de ton /etc/ssh/sshd_config ?
Et lance la commande suivante pour empêcher la suppression d'auth.log :
chattr +a /var/log/auth.log
le fichier ne pourra qu'être accessible en écriture pour l'ajout de données.
Tu peux vérifier que le drapeau « a » est fonctionnel avec la commande :
lsattr /var/log/auth.log
Pense à supprimer l'attribut quand tu auras fini ton enquête :
chattr -a /var/log/auth.log
Tu peux également vérifier les programmes qui utilisent auth.log avec :
lsof /var/log/auth.log
et de manière automatique :
watch lsof /var/log/auth.log
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#13 Le 09/05/2013, à 17:38
- jacques06
Re : je crois que ca sent pas bon...
super merci beaucoup je te tiens au courant
Le fichier demandé :
cat /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Dernière modification par jacques06 (Le 09/05/2013, à 17:46)
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#14 Le 10/05/2013, à 23:17
- jacques06
Re : je crois que ca sent pas bon...
@titouan dsl j'avais pas vu ton message non je ne fais pas de P2P sur cette machine... peut être que je devrais chercher un programme de P2P dans mes installs...
je vais chercher des noms de programmes a chercher .
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#15 Le 11/05/2013, à 00:59
- nesthib
Re : je crois que ca sent pas bon...
Ton fichier de config explicite bien de créer le log. As-tu essayé les commandes ci-dessus ?
Autre chose, install iftop et lance :
sudo iftop -i eth0
(si eth0 est ton interface réseau), tu pourras surveiller en direct le trafic réseau. Il est normal que ta machine fasse beaucoup d'appels à des serveurs externes, ne panique pas à cause de ça (mises à jour ubuntu, résolution DNS…). Avec la touche « n » tu peux basculer la résolution des noms de domaine pour y voir plus clair.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#16 Le 13/05/2013, à 14:44
- nesthib
Re : je crois que ca sent pas bon...
Globalement d'accord avec les remarques d'Ignus, sauf pour le changement de port de ssh. Ça ne sert à rien et ça peut te poser des problèmes a posteriori.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#17 Le 14/05/2013, à 16:10
- Haleth
Re : je crois que ca sent pas bon...
je suis protégé par défaut via le firewal
Un firewall ne va jamais te protéger, ni augmenter ta sécurité
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#18 Le 14/05/2013, à 16:26
- moko138
Re : je crois que ca sent pas bon...
Un firewall ne va jamais te protéger, ni augmenter ta sécurité
Je croyais que c'était sa fonction. Peux-tu expliquer, s'il te plaît ?
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#19 Le 14/05/2013, à 16:28
- Haleth
Re : je crois que ca sent pas bon...
Un firewall, ca sert pour modifier les paquets
Plutôt que de refaire un speech:
Allez, comme je suis de bonne humeur ce soir, je vais essayer de t'expliquer un minimum. Imagine qu'un ordinateur est une maison avec plein de fenêtre (que des fenetres, il y a pas de portes). Informatiquement, chaque fenetre est un "port". Quand ton OS démarre (vraiment au début), toutes les fenetres sont fermées. Essaye de te connecter sur un PC qui n'a pas finit de booter, tu va voir que ça va pas bien se passer.
Ensuite, au fur et à mesure, l'OS lance des logiciels. Par exemple, si tu lance un serveur ftp sur ta machine, cela va probablement "ouvrir" la fenetre numéro 21. En réalité, c'est simplement que le programme "serveur ftp" se met derière la fenetre, et que si quelqu'un tape à cette vitre, il va ouvrir et répondre "oui, je suis un serveur ftp, qu'est ce que vous voulez ?"Et si c'est un client ftp qui a tapé à la fenêtre, il vont se mettre à discuter ensemble. Voila comment ça marche. Donc "ouvrir" ou "fermer" un port ça ne veut rien dire. Un FW, c'est (entre autre) une clôture que tu met autour de la maison pour empêcher tout le monde de s'approcher. Sauf que si tu laisse personne entrer ou sortir, ton pc, autant débrancher le câble réseau hein... Bref, pas de firewall activé sous ubuntu par défaut parce que ça sert à rien. Le gars qui est, par exemple, derrière la fenêtre 21 est suffisamment costaux pour péter la gueule d'un gars qui voudrait entrer dans la baraque par cette fenêtre si il fait pas parti des gens autorisé à entrer. Et c'est pareil pour chaque gars derrière chaque fenêtre. LE fait de mettre une clôture devant n'y changera strictement rien, car si tu attend des invités, il va bien falloir les laisser entrer de toute façon, et c'est pas la clôture qui vérifiera leur identité.
En espérant que tu ai un peu mieux compris...
Hoper
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#20 Le 14/05/2013, à 17:34
- nesthib
Re : je crois que ca sent pas bon...
C'est une analogie un peu réductrice, le pare feu peut très bien jouer le rôle de « gardien » et vérifier la provenance des paquets, la quantité de paquets entrant… tel que tu le décris un pare-feu ne sert à rien, ce qui est loin de la réalité.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#21 Le 14/05/2013, à 19:54
- moko138
Re : je crois que ca sent pas bon...
@Hoper et nesthib : merci !
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#22 Le 15/05/2013, à 20:22
- Haleth
Re : je crois que ca sent pas bon...
Tout à fait, tu peux faire ca.
De même que je peux mettre une pancarte "défense d'entrer" devant ma porte ouverte.
De même que je peux mettre une serrure sur un mur de béton, pour empêcher que des méchands entrent par là.
Je peux, mais au final, ca change quoi ?
Bon, y'a un grand intérêt, c'est l'effet placebo sur les néophytes, m'enfin ..
Éxtrait du man:
CLUSTERIP
This module allows you to configure a simple cluster of nodes that
share a certain IP and MAC address without an explicit load balancer in
front of them. Connections are statically distributed between the
nodes in this cluster.
--new Create a new ClusterIP. You always have to set this on the
first rule for a given ClusterIP.
--hashmode mode
Specify the hashing mode. Has to be one of sourceip, sour‐
ceip-sourceport, sourceip-sourceport-destport.
--clustermac mac
Specify the ClusterIP MAC address. Has to be a link-layer multi‐
cast address
--total-nodes num
Number of total nodes within this cluster.
--local-node num
Local node number within this cluster.
--hash-init rnd
Specify the random seed used for hash initialization.
Iptables, c'est dla balle!
Dernière modification par Haleth (Le 15/05/2013, à 20:40)
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#23 Le 15/05/2013, à 22:35
- Haleth
Re : je crois que ca sent pas bon...
Ah daccord je peux la forcer et entrer
Si tu as trouvé un bug dans le kernel, n'hésite pas à le remonter. Sinon, ce que tu dit est impossible, par définition
Reste également à faire tes règles pour le protocole UDP... Qui est utilisé pour le réseau local en général!
UDP = DNS & NFS
Pas spécialement en locale (quoique NFS.. m'enfin)
Il suffit de passer outre le noyau avec des librairies pour récupérer certains paquets! Mais pour arriver à ça, il faut être doué...
Tu veux dire: lire des paquets sans le kernel ? Donc accéder aux dev sans le kernel ? Intéressant.
Note que si le méchand utilise des libs dans ta machine, tu es déjà troué, c'est trop tard;
En passant, si tu pouvais m'expliquer l'intérêt d'installer et de configurer un service, pour lui couper la communication derrière .. ce serait gentil .. d'autant que la plupart des trucs permettent de configurer l'interface de communication (bind), donc ton histoire n'est même pas valable dans l'idée "de restreindre un service pour le lan"
NB: moins d'affirmation, moins de dogmes, plus d'explications & d'arguments, merci
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#24 Le 17/05/2013, à 14:33
- jacques06
Re : je crois que ca sent pas bon...
Globalement d'accord avec les remarques d'Ignus, sauf pour le changement de port de ssh. Ça ne sert à rien et ça peut te poser des problèmes a posteriori.
heu je ne vois pas les remarques d'ignus.
par contre il doit bien y avoir un defaut de protection qque part..
j'ai le même type de connection ouverte sur le port 12 (???) de la machine distante, mais sur une autre IP...
et bien sur cutter ne fonctionne pas...
root@vds-847181:~# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 62.193.196.91:41608 87.106.144.155:12 ESTABLISHED
tcp 0 0 172.20.0.1:22 172.20.0.10:49637 ESTABLISHED
tcp 0 400 172.20.0.1:22 172.20.0.10:51636 ESTABLISHED
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne
#25 Le 17/05/2013, à 14:53
- jacques06
Re : je crois que ca sent pas bon...
bon losf -i m'ayant donné le PID et ayant bloue l'ip
apres ca :
root@vds-847181:~# lsof -i:41608
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
pdflush 52520 psaadm 4u IPv4 811084844 TCP vds-847181.amen-pro.com:41608->aqua-vida.es:12 (ESTABLISHED)
root@vds-847181:~# kill 52520
j'ai de nouveau ca :
root@vds-847181:~# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:2912 127.0.0.1:54954 TIME_WAIT
tcp 0 0 127.0.0.1:54954 127.0.0.1:2912 TIME_WAIT
tcp 0 0 127.0.0.1:44736 127.0.0.1:53 TIME_WAIT
tcp 0 1 62.193.196.91:54557 87.106.144.155:12 SYN_SENT
tcp 0 0 172.20.0.1:22 172.20.0.10:49637 ESTABLISHED
tcp 0 0 172.20.0.1:22 172.20.0.10:51636 ESTABLISHED
tcp 0 664 172.20.0.1:22 172.20.0.10:51734 ESTABLISHED
ce qui est plus propre mais toujours non satisfaisant. je ne vais pas supprimer les connections IP par IP...
psaadm est un compte interne normalement, non?
c'est en codant n'importe quoi qu'on devient n'importe qui
Hors ligne