Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 04/10/2019, à 17:21

LouisV

Inquiétude justifiée ou paranoïaque ?

Bonsoir,

J'aimerais avoir votre avis.

Sur mon PC (une tour HP Pavilion qui doit bien avoir une dizaine d'années, avec Ubuntu 18.04) l'activité Ethernet (donc, Internet) passe (par diaphonie ?) du port Ethernet à la carte son intégrée et s'entend donc faiblement mais distinctement dans les haut-parleurs (un bruit plus ou moins blanc). Pas grave.

Mais voilà que depuis quelques temps, même en l'absence de toute activité créant du trafic Internet, j'avais parfois dans les haut-parleurs une sorte de crépitement, comme de brefs moments de trafic Internet répétés 5 à 10 fois peut-être par seconde (pas évident à dire).
Il s'agit bien de trafic Internet car si je désactive le réseau le bruit s'arrête immédiatement. Si je le ré-active, il revient, mais pas tout de suite.

J'ai imaginé qu'il pouvait s'agir de tentatives répétées d'intrusion par un robot, essayant tous les mots de passe les uns après les autres. Normalement, le PC met pas mal de temps à répondre à un mauvais mot de passe, mais peut-être le robot lançait plusieurs tentatives sans attendre la réponse des précédentes (est-ce possible ? Je ne connais rien aux réseaux).

Mon mot de passe est assez costaud, mais un coup de pas de bol reste possible, bien que là ce serait vraiment du pas de bol.

J'ai alors activé le pare-feu d'Ubuntu (ufw), autorisant le trafic sortant et interdisant le trafic entrant, sauf sur les ports préconisés par la page d'aide Ubuntu d'ufw. Depuis je n'ai plus jamais eu ce souci. Je suis donc tranquille me semble-t-il.

Mais j'aimerais bien savoir si mon raisonnement tient debout, ou si je suis totalement à côté ?

Que pensez-vous de tout ça ?

Merci de vos réponses et bonne soirée,
L.


(Ubuntu 18.04)

Hors ligne

#2 Le 04/10/2019, à 18:11

tuxmarc

Re : Inquiétude justifiée ou paranoïaque ?

Bonsoir

Intéressant comme témoignage.

Perso, je n'ai jamais connu ce cas sur bien 150 distributions à toutes les sauces depuis 2008.
Il faut avouer que je suis  un peu sourd lol
Voila les gars, vous savez tout lol

Si c'était une tentative d'intrusion, là, c'est une première !
Avec un MdP bien costaud, c'est déjà une assurance pour ne pas être enquiquiné.
Si c'était une tentative d'intrusion visant window$, ça se serait vite terminé, pas possible tongue

Un conseil : tu peux installer rkhunter et/ou chkrootkit ou d'autres, qui sont des utilitaires pour rechercher les trucs vicieux.
la doc est ici :
https://doc.ubuntu-fr.org/rootkit

Bonne lecture !


Vive Richard Stalmann, Linus Torvalds, et tous les fondus de Linux.
De l'Ordinosaure fait à 90% de récup, à deux portables LDLC,  neufs sans système et une carte mère sans boitier, tous libres !!
Parrain Linux sur www.parrain-linux.com et www.parrains.linux.free.fr

Hors ligne

#3 Le 04/10/2019, à 18:54

kholo

Re : Inquiétude justifiée ou paranoïaque ?

salut,
un peu capillotracté comme raisonnement !
Même si c'est pas Windows, il peut y avoir des tas de raisons qu'un programme reçoive ou envoie des infos sur le port ethernet...
un service peu faire ça... les mises à jour par exemple... ou un service de réseau local de partage (samba la veilleuse ou udlna par exemple)

l'activité réseau peut être journalisée... tu en as déjà un aperçu en quantitatif sur les programmes de "monitor system"... ça ne te diras pas où mais combien et quand !

après oui, tu peux chercher plus profond mais sans connaissances tu risques de ramer pour savoir quoi chercher et où...

Hors ligne

#4 Le 05/10/2019, à 06:40

LouisV

Re : Inquiétude justifiée ou paranoïaque ?

Bonjour et merci de vos réponses.
Je regarderai plus avant ce soir car aujourd'hui je suis pris.
Bonne journée,
L.


(Ubuntu 18.04)

Hors ligne

#5 Le 05/10/2019, à 10:19

LouisV

Re : Inquiétude justifiée ou paranoïaque ?

Bonjour,

Ça m'étonnerait quand même qu'un service fasse ça : le crépitement, une fois commencé, ne s'arrête plus jusqu'à l'arrêt du PC (à moins que je désactive le réseau). Mais je suis trop béotien pour pouvoir affirmer quoi que ce soit.

Pour en savoir plus, je vais désactiver le pare-feu et quand ça aura recommencé, suivre le monitoring du système (jamais fait, mais je devrais y arriver ...) Je ferai ça plus tard.

Bonne journée,
L.


(Ubuntu 18.04)

Hors ligne

#6 Le 05/10/2019, à 17:36

LouisV

Re : Inquiétude justifiée ou paranoïaque ?

Bonsoir,

J'ai lancé les deux utilitaires proposés par TuxMarc (rkhunter puis chkrootkit).
Voilà ce que ça me donne :

louis@louis-p6-2031fr:~$ sudo rkhunter --checkall --report-warnings-only
[sudo] Mot de passe de louis : 
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
Warning: Hidden directory found: /etc/.java
louis@louis-p6-2031fr:~$ sudo chkrootkit -q

/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /lib/modules/5.0.0-27-generic/vdso/.build-id /lib/modules/5.0.0-29-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/5.0.0-27-generic/vdso/.build-id /lib/modules/5.0.0-29-generic/vdso/.build-id
not tested
find: ‘/proc/2190/task/2190/net’: Argument invalide
find: ‘/proc/2190/net’: Argument invalide
enp3s0: PACKET SNIFFER(/sbin/dhclient[1176])
user louis deleted or never logged from lastlog!
 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! louis        1175 tty1   /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
! louis        1173 tty1   /usr/lib/gdm3/gdm-x-session --run-script /usr/lib/gnome-session/run-systemd-session unity-session.target
! louis        1221 tty1   /bin/sh /usr/lib/gnome-session/run-systemd-session unity-session.target
! louis        1405 tty1   systemctl --user start --wait unity-session.target
! louis       24795 pts/0  bash
! root        31428 pts/0  /bin/sh /usr/sbin/chkrootkit -q
! root        31985 pts/0  ./chkutmp
! root        31987 pts/0  ps axk tty,ruser,args -o tty,pid,ruser,args
! root        31986 pts/0  sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
! root        31427 pts/0  sudo chkrootkit -q
not tested
louis@louis-p6-2031fr:~$ 

Hélas pour moi c'est du chinois …

Edit : au moment où j'ai fait ça, le pare-feu était actif, il n'y avait pas de "tentative d'intrusion" (si c'en est une).

Bonne soirée,
L.

Dernière modification par LouisV (Le 06/10/2019, à 08:45)


(Ubuntu 18.04)

Hors ligne