panne incroyable ????????

boss75 · Le 24/02/2015, à 02:35

Bonsoir je sais pas ouvrir le pc car quand je l'ouvre directement l'internet coupe mais j'ai trouver sur le net quelqu'un qui a le meme problemes que moi

voici le liens

http://superuser.com/questions/877896/u … om-command

Dernière modification par boss75 (Le 24/02/2015, à 02:38)

moko138 · Le 24/02/2015, à 07:56

boss75 a écrit :

l'internet coupe

Et alors ?

Passe les 2 commandes demandées par tiramiseb,
copie-colle leurs résultats complets dans un fichier .txt.
Ce fichier tu le copies sur une clef usb quelconque.

Tu redémarres ton pc avec un DVD live
(ou bien tu utilises un autre pc)
et tu peux te connecter ET coller ici le contenu du fichier .txt.

tiramiseb · Le 24/02/2015, à 08:21

j'ai trouver sur le net quelqu'un qui a le meme problemes que moi

Et sur cette autre discussion, c'est bien le symptôme que j'ai mis de côté suite à une de tes informations.
Tu serais donc infecté par un malware.

J'avais mis de côté cette supposition car tu as dit que tu as réinstallé plusieurs fois, un malware ne survivant pas suite à une réinstallation.
Cela dit, ce que tu n'as pas dit c'est à partir de quand ça apparaît, après réinstallation... il est possible que tu exécutes systématiquement (et en tant que root, avec sudo), après chacune de tes installations, un fichier qui est infecté, ce qui résulte en une infection de ton nouveau système.

C'est le plus plausible, à mon avis.

Compte anonymisé · Le 24/02/2015, à 12:41

Salut

sur ta premiere capture tu as un un serveur de streaming qui se lance au demarage (utilisateur hts)
http://i.hizliresim.com/7oN7XW.png
peut etre celui ci qui met le boxon
Pour l'arreter

sudo stop tvheadend

et verifie tes processus ensuite

pour le relancer

sudo start tvheadend

pour verifier ses processus

top -u hts

cordialement

tiramiseb · Le 24/02/2015, à 12:47

meremichel: je ne pense pas qu'il y ait un lien, notamment car ce qui semble être un malware tourne en root...

boss75 · Le 24/02/2015, à 20:55

j'ai stopper tvheadend aussi le meme problemes , la premiere fois installer ubuntu apres 24 heures ca commence

αjet · Le 25/02/2015, à 00:11

Dans les reponses de superuser, il y a un lien vers cet article: https://blog.avast.com/2015/01/06/linux … d-rootkit/
S'il s'agit bien de ce malware, il est ecrit que le vecteur d'infection est une tentative de connection en force brut ssh sur le compte root.

Est-ce que tu as utilise le meme mot de passe root pour les differentes installation successives? Si oui, il est probable que l'attaquant ait enregistre ce mot de passe, et le retente a chaque fois que tu reinstalle. Ca expliquerait la recurence de ce probleme.

Si mes hypothese s'averent juste, d'une part ce mot de passe est compromis. D'autre part, il est probable que d'autres machines sur ton reseau local soient aussi infectees.

Quitte a faire de nouveau une reinstalle, je pense que que je procederais de la maniere suivante. Note: avant de suivre ces recommandations, attend que d'autres membres tels que tiramiseb commentent. Je suis loin d'etre un expert en securite informatique, il est fort possible que je passe a cote de quelque chose.

1. Fait une installe en local, directement sur le serveur, et isole-le physiquement de ton reseau (debranche la prise ethernet).
Utilise un media d'installation de confiance. Le mieux serait de graver une iso telecharge sur le site officiel d'ubuntu ou de debian selon la distro choisie, et fait bien un checksum pour verifier que l'iso n'est pas compromise et aussi un checksum du cd/dvd grave, on n'est jamais trop prudent...

2. Lors de l'installation, utilise des mots de passe differents pour root et pour ton utilisateur principal (i.e. ayant les privileges root via sudo)

3. Configuration de ssh : si possible utilise un port different du port 22, a moins que tu souhaites pieger l'attaquant (voir point 5). Desactive la connection ssh pour root. Songe aussi a utiliser l'authentification par certificats, c'est plus robuste qu'une authentification par mot de passe surtout si la connection ssh de ton serveur est directment accessible depuis internet.

4. configure le pare feux pour qu'il bloque toutes les connections entrantes excepte le port ssh. Si necessaire, voir la doc de ufw sur doc.ubuntu-fr.org.

5. Si tu souhaite identifier la source de ton attaque:
i. sur ton systeme actuel, sauvegarde les fichiers auth.log. Cherche dedans les tentatives de connections ssh ayant echouee. Note que si l'attaquant est pas trop bete, il a du masquer ses traces.
ii. sur le nouveau systeme: installe fail2ban et rajoute une jail pour ssh (voir doc ubuntu-fr), suis regulierement les logs auth.log et de fail2ban. Ca te permettra de cibler les addresses ip qui font des tentatives d'intrusion. Si cela vient de ton reseau local, tu peut etre sur que d'autres machines sont infectees.

J'ai ete rapide, si tu as besoin d'eclaircissement sur certains points, surtout demande avant de te lancer. Bon courrage en tout cas.

Dernière modification par αjet (Le 25/02/2015, à 00:14)

tiramiseb · Le 25/02/2015, à 00:24

Suite au message de αjet, voici mes commentaires.

=> oui, réinstaller est impératif
=> pas obligé de mettre un mot de passe à root, l'utilisation avec sudo est suffisante
=> oui, il faut changer le(s) mot(s) de passe et mettre un/des mot(s) de passe solide(s) (lettres, chiffres, long, aléatoire)
=> changer le port de SSH n'apportera pas grand chose) si le système est bien sécurisé
=> le pare-feu n'est pas nécessaire si n'importe quoi n'est pas installé

Dans tous les cas, il y a quelque chose que tu fais systématiquement et qui résulte en la même chose : ton système compromis. Donc tente d'être plus vigilant sur la sécurité, ça devrait aller mieux.

αjet · Le 25/02/2015, à 00:53

Merci pour tes complements

Ayral · Le 25/02/2015, à 13:41

Boss a écrit :

après 24 heures ça commence

Alors où tu en es ?
Le fait que ça, ne commence pas tout de suite laisse à penser que c'est tiramiseb et ajet qui sont sans doute dans le vrai.

On aimerait savoir où tu en es.

boss75 · Le 25/02/2015, à 19:13

Ce soir je vais reinstaller ubuntu avec un mot de passe differente je vous tiens au courant

boss75 · Le 27/02/2015, à 16:08

salut a tout le monde

j'ai reinstaller hier l'ubuntu 14.10 , avec un mot de passe differente avec des lettres en majuscule,miniscule,et des chiffres donc je test ce soir et demain je vous dis quoi

mais le plus interessant dans l'histoire j'ai louer un dedicated sur un site il ma fait la meme chose sans rien installer dessus et le mot de passe etait le meme.

donc voila je vous tient au courant merci encore a tout le monde

Dernière modification par boss75 (Le 27/02/2015, à 16:10)

tiramiseb · Le 27/02/2015, à 16:20

il ma fait la meme chose sans rien installer dessus et le mot de passe etait le meme

Il y a bien quelque chose de commun, et pas seulement le mot de passe...

Dis donc, ton PC de bureau, à partir duquel tu te connectes, ne serait-il pas piraté ?
Si quelqu'un espionne tes faits et gestes sur ton PC (keylogger, etc), alors il n'aura aucun mal à deviner le nouveau mot de passe de ton serveur.

boss75 · Le 28/02/2015, à 22:04

non c'est pas possible la i7 qui deconner tous les ports sont fermer

bon ca fait maintenant 48 heures ca tourne sans soucis

demain si ca marche encore le problemes sera regler

merci a tous

Dernière modification par boss75 (Le 28/02/2015, à 22:05)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 24/02/2015, à 02:35

Re : panne incroyable ????????

#27 Le 24/02/2015, à 07:56

Re : panne incroyable ????????

#28 Le 24/02/2015, à 08:21

Re : panne incroyable ????????

#29 Le 24/02/2015, à 12:41

Re : panne incroyable ????????

#30 Le 24/02/2015, à 12:47

Re : panne incroyable ????????

#31 Le 24/02/2015, à 20:55

Re : panne incroyable ????????

#32 Le 25/02/2015, à 00:11

Re : panne incroyable ????????

#33 Le 25/02/2015, à 00:24

Re : panne incroyable ????????

#34 Le 25/02/2015, à 00:53

Re : panne incroyable ????????

#35 Le 25/02/2015, à 13:41

Re : panne incroyable ????????

#36 Le 25/02/2015, à 19:13

Re : panne incroyable ????????

#37 Le 27/02/2015, à 16:08

Re : panne incroyable ????????

#38 Le 27/02/2015, à 16:20

Re : panne incroyable ????????

#39 Le 28/02/2015, à 22:04

Re : panne incroyable ????????

Pied de page des forums