#26 Le 24/02/2015, à 02:35
- boss75
Re : panne incroyable ????????
Bonsoir je sais pas ouvrir le pc car quand je l'ouvre directement l'internet coupe mais j'ai trouver sur le net quelqu'un qui a le meme problemes que moi
voici le liens
http://superuser.com/questions/877896/u … om-command
Dernière modification par boss75 (Le 24/02/2015, à 02:38)
Hors ligne
#27 Le 24/02/2015, à 07:56
- moko138
Re : panne incroyable ????????
l'internet coupe
Et alors ?
Passe les 2 commandes demandées par tiramiseb,
copie-colle leurs résultats complets dans un fichier .txt.
Ce fichier tu le copies sur une clef usb quelconque.
Tu redémarres ton pc avec un DVD live
(ou bien tu utilises un autre pc)
et tu peux te connecter ET coller ici le contenu du fichier .txt.
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#28 Le 24/02/2015, à 08:21
- tiramiseb
Re : panne incroyable ????????
j'ai trouver sur le net quelqu'un qui a le meme problemes que moi
Et sur cette autre discussion, c'est bien le symptôme que j'ai mis de côté suite à une de tes informations.
Tu serais donc infecté par un malware.
J'avais mis de côté cette supposition car tu as dit que tu as réinstallé plusieurs fois, un malware ne survivant pas suite à une réinstallation.
Cela dit, ce que tu n'as pas dit c'est à partir de quand ça apparaît, après réinstallation... il est possible que tu exécutes systématiquement (et en tant que root, avec sudo), après chacune de tes installations, un fichier qui est infecté, ce qui résulte en une infection de ton nouveau système.
C'est le plus plausible, à mon avis.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#29 Le 24/02/2015, à 12:41
- Compte anonymisé
Re : panne incroyable ????????
Salut
sur ta premiere capture tu as un un serveur de streaming qui se lance au demarage (utilisateur hts)
http://i.hizliresim.com/7oN7XW.png
peut etre celui ci qui met le boxon
Pour l'arreter
sudo stop tvheadend
et verifie tes processus ensuite
pour le relancer
sudo start tvheadend
pour verifier ses processus
top -u hts
cordialement
#30 Le 24/02/2015, à 12:47
- tiramiseb
Re : panne incroyable ????????
meremichel: je ne pense pas qu'il y ait un lien, notamment car ce qui semble être un malware tourne en root...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#31 Le 24/02/2015, à 20:55
- boss75
Re : panne incroyable ????????
j'ai stopper tvheadend aussi le meme problemes , la premiere fois installer ubuntu apres 24 heures ca commence
Hors ligne
#32 Le 25/02/2015, à 00:11
- αjet
Re : panne incroyable ????????
Dans les reponses de superuser, il y a un lien vers cet article: https://blog.avast.com/2015/01/06/linux … d-rootkit/
S'il s'agit bien de ce malware, il est ecrit que le vecteur d'infection est une tentative de connection en force brut ssh sur le compte root.
Est-ce que tu as utilise le meme mot de passe root pour les differentes installation successives? Si oui, il est probable que l'attaquant ait enregistre ce mot de passe, et le retente a chaque fois que tu reinstalle. Ca expliquerait la recurence de ce probleme.
Si mes hypothese s'averent juste, d'une part ce mot de passe est compromis. D'autre part, il est probable que d'autres machines sur ton reseau local soient aussi infectees.
Quitte a faire de nouveau une reinstalle, je pense que que je procederais de la maniere suivante. Note: avant de suivre ces recommandations, attend que d'autres membres tels que tiramiseb commentent. Je suis loin d'etre un expert en securite informatique, il est fort possible que je passe a cote de quelque chose.
1. Fait une installe en local, directement sur le serveur, et isole-le physiquement de ton reseau (debranche la prise ethernet).
Utilise un media d'installation de confiance. Le mieux serait de graver une iso telecharge sur le site officiel d'ubuntu ou de debian selon la distro choisie, et fait bien un checksum pour verifier que l'iso n'est pas compromise et aussi un checksum du cd/dvd grave, on n'est jamais trop prudent...
2. Lors de l'installation, utilise des mots de passe differents pour root et pour ton utilisateur principal (i.e. ayant les privileges root via sudo)
3. Configuration de ssh : si possible utilise un port different du port 22, a moins que tu souhaites pieger l'attaquant (voir point 5). Desactive la connection ssh pour root. Songe aussi a utiliser l'authentification par certificats, c'est plus robuste qu'une authentification par mot de passe surtout si la connection ssh de ton serveur est directment accessible depuis internet.
4. configure le pare feux pour qu'il bloque toutes les connections entrantes excepte le port ssh. Si necessaire, voir la doc de ufw sur doc.ubuntu-fr.org.
5. Si tu souhaite identifier la source de ton attaque:
i. sur ton systeme actuel, sauvegarde les fichiers auth.log. Cherche dedans les tentatives de connections ssh ayant echouee. Note que si l'attaquant est pas trop bete, il a du masquer ses traces.
ii. sur le nouveau systeme: installe fail2ban et rajoute une jail pour ssh (voir doc ubuntu-fr), suis regulierement les logs auth.log et de fail2ban. Ca te permettra de cibler les addresses ip qui font des tentatives d'intrusion. Si cela vient de ton reseau local, tu peut etre sur que d'autres machines sont infectees.
J'ai ete rapide, si tu as besoin d'eclaircissement sur certains points, surtout demande avant de te lancer. Bon courrage en tout cas.
Dernière modification par αjet (Le 25/02/2015, à 00:14)
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
#33 Le 25/02/2015, à 00:24
- tiramiseb
Re : panne incroyable ????????
Suite au message de αjet, voici mes commentaires.
=> oui, réinstaller est impératif
=> pas obligé de mettre un mot de passe à root, l'utilisation avec sudo est suffisante
=> oui, il faut changer le(s) mot(s) de passe et mettre un/des mot(s) de passe solide(s) (lettres, chiffres, long, aléatoire)
=> changer le port de SSH n'apportera pas grand chose) si le système est bien sécurisé
=> le pare-feu n'est pas nécessaire si n'importe quoi n'est pas installé
Dans tous les cas, il y a quelque chose que tu fais systématiquement et qui résulte en la même chose : ton système compromis. Donc tente d'être plus vigilant sur la sécurité, ça devrait aller mieux.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#34 Le 25/02/2015, à 00:53
- αjet
Re : panne incroyable ????????
Merci pour tes complements
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
#35 Le 25/02/2015, à 13:41
- Ayral
Re : panne incroyable ????????
après 24 heures ça commence
Alors où tu en es ?
Le fait que ça, ne commence pas tout de suite laisse à penser que c'est tiramiseb et ajet qui sont sans doute dans le vrai.
On aimerait savoir où tu en es.
Pour mettre les retours de commande entre deux balises code, les explications sont là : https://forum.ubuntu-fr.org/viewtopic.php?id=1614731
Blog d'un retraité
Site de graphisme du fiston Loïc
Ubuntu 22.04 LTS sur un Thinkpad W540
Hors ligne
#36 Le 25/02/2015, à 19:13
- boss75
Re : panne incroyable ????????
Ce soir je vais reinstaller ubuntu avec un mot de passe differente je vous tiens au courant
Hors ligne
#37 Le 27/02/2015, à 16:08
- boss75
Re : panne incroyable ????????
salut a tout le monde
j'ai reinstaller hier l'ubuntu 14.10 , avec un mot de passe differente avec des lettres en majuscule,miniscule,et des chiffres donc je test ce soir et demain je vous dis quoi
mais le plus interessant dans l'histoire j'ai louer un dedicated sur un site il ma fait la meme chose sans rien installer dessus et le mot de passe etait le meme.
donc voila je vous tient au courant merci encore a tout le monde
Dernière modification par boss75 (Le 27/02/2015, à 16:10)
Hors ligne
#38 Le 27/02/2015, à 16:20
- tiramiseb
Re : panne incroyable ????????
il ma fait la meme chose sans rien installer dessus et le mot de passe etait le meme
Il y a bien quelque chose de commun, et pas seulement le mot de passe...
Dis donc, ton PC de bureau, à partir duquel tu te connectes, ne serait-il pas piraté ?
Si quelqu'un espionne tes faits et gestes sur ton PC (keylogger, etc), alors il n'aura aucun mal à deviner le nouveau mot de passe de ton serveur.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#39 Le 28/02/2015, à 22:04
- boss75
Re : panne incroyable ????????
non c'est pas possible la i7 qui deconner tous les ports sont fermer
bon ca fait maintenant 48 heures ca tourne sans soucis
demain si ca marche encore le problemes sera regler
merci a tous
Dernière modification par boss75 (Le 28/02/2015, à 22:05)
Hors ligne