Pages : 1
#1 Le 04/10/2019, à 17:21
- LouisV
Inquiétude justifiée ou paranoïaque ?
Bonsoir,
J'aimerais avoir votre avis.
Sur mon PC (une tour HP Pavilion qui doit bien avoir une dizaine d'années, avec Ubuntu 18.04) l'activité Ethernet (donc, Internet) passe (par diaphonie ?) du port Ethernet à la carte son intégrée et s'entend donc faiblement mais distinctement dans les haut-parleurs (un bruit plus ou moins blanc). Pas grave.
Mais voilà que depuis quelques temps, même en l'absence de toute activité créant du trafic Internet, j'avais parfois dans les haut-parleurs une sorte de crépitement, comme de brefs moments de trafic Internet répétés 5 à 10 fois peut-être par seconde (pas évident à dire).
Il s'agit bien de trafic Internet car si je désactive le réseau le bruit s'arrête immédiatement. Si je le ré-active, il revient, mais pas tout de suite.
J'ai imaginé qu'il pouvait s'agir de tentatives répétées d'intrusion par un robot, essayant tous les mots de passe les uns après les autres. Normalement, le PC met pas mal de temps à répondre à un mauvais mot de passe, mais peut-être le robot lançait plusieurs tentatives sans attendre la réponse des précédentes (est-ce possible ? Je ne connais rien aux réseaux).
Mon mot de passe est assez costaud, mais un coup de pas de bol reste possible, bien que là ce serait vraiment du pas de bol.
J'ai alors activé le pare-feu d'Ubuntu (ufw), autorisant le trafic sortant et interdisant le trafic entrant, sauf sur les ports préconisés par la page d'aide Ubuntu d'ufw. Depuis je n'ai plus jamais eu ce souci. Je suis donc tranquille me semble-t-il.
Mais j'aimerais bien savoir si mon raisonnement tient debout, ou si je suis totalement à côté ?
Que pensez-vous de tout ça ?
Merci de vos réponses et bonne soirée,
L.
(Ubuntu 18.04)
Hors ligne
#2 Le 04/10/2019, à 18:11
- tuxmarc
Re : Inquiétude justifiée ou paranoïaque ?
Bonsoir
Intéressant comme témoignage.
Perso, je n'ai jamais connu ce cas sur bien 150 distributions à toutes les sauces depuis 2008.
Il faut avouer que je suis un peu sourd
Voila les gars, vous savez tout
Si c'était une tentative d'intrusion, là, c'est une première !
Avec un MdP bien costaud, c'est déjà une assurance pour ne pas être enquiquiné.
Si c'était une tentative d'intrusion visant window$, ça se serait vite terminé, pas possible
Un conseil : tu peux installer rkhunter et/ou chkrootkit ou d'autres, qui sont des utilitaires pour rechercher les trucs vicieux.
la doc est ici :
https://doc.ubuntu-fr.org/rootkit
Bonne lecture !
Vive Richard Stalmann, Linus Torvalds, et tous les fondus de Linux.
De l'Ordinosaure fait à 90% de récup, à deux portables LDLC, neufs sans système et une carte mère sans boitier, tous libres !!
Parrain Linux sur www.parrain-linux.com et www.parrains.linux.free.fr
Hors ligne
#3 Le 04/10/2019, à 18:54
- kholo
Re : Inquiétude justifiée ou paranoïaque ?
salut,
un peu capillotracté comme raisonnement !
Même si c'est pas Windows, il peut y avoir des tas de raisons qu'un programme reçoive ou envoie des infos sur le port ethernet...
un service peu faire ça... les mises à jour par exemple... ou un service de réseau local de partage (samba la veilleuse ou udlna par exemple)
l'activité réseau peut être journalisée... tu en as déjà un aperçu en quantitatif sur les programmes de "monitor system"... ça ne te diras pas où mais combien et quand !
après oui, tu peux chercher plus profond mais sans connaissances tu risques de ramer pour savoir quoi chercher et où...
Hors ligne
#4 Le 05/10/2019, à 06:40
- LouisV
Re : Inquiétude justifiée ou paranoïaque ?
Bonjour et merci de vos réponses.
Je regarderai plus avant ce soir car aujourd'hui je suis pris.
Bonne journée,
L.
(Ubuntu 18.04)
Hors ligne
#5 Le 05/10/2019, à 10:19
- LouisV
Re : Inquiétude justifiée ou paranoïaque ?
Bonjour,
Ça m'étonnerait quand même qu'un service fasse ça : le crépitement, une fois commencé, ne s'arrête plus jusqu'à l'arrêt du PC (à moins que je désactive le réseau). Mais je suis trop béotien pour pouvoir affirmer quoi que ce soit.
Pour en savoir plus, je vais désactiver le pare-feu et quand ça aura recommencé, suivre le monitoring du système (jamais fait, mais je devrais y arriver ...) Je ferai ça plus tard.
Bonne journée,
L.
(Ubuntu 18.04)
Hors ligne
#6 Le 05/10/2019, à 17:36
- LouisV
Re : Inquiétude justifiée ou paranoïaque ?
Bonsoir,
J'ai lancé les deux utilitaires proposés par TuxMarc (rkhunter puis chkrootkit).
Voilà ce que ça me donne :
louis@louis-p6-2031fr:~$ sudo rkhunter --checkall --report-warnings-only
[sudo] Mot de passe de louis :
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
Warning: Hidden directory found: /etc/.java
louis@louis-p6-2031fr:~$ sudo chkrootkit -q
/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /lib/modules/5.0.0-27-generic/vdso/.build-id /lib/modules/5.0.0-29-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/5.0.0-27-generic/vdso/.build-id /lib/modules/5.0.0-29-generic/vdso/.build-id
not tested
find: ‘/proc/2190/task/2190/net’: Argument invalide
find: ‘/proc/2190/net’: Argument invalide
enp3s0: PACKET SNIFFER(/sbin/dhclient[1176])
user louis deleted or never logged from lastlog!
The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! louis 1175 tty1 /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
! louis 1173 tty1 /usr/lib/gdm3/gdm-x-session --run-script /usr/lib/gnome-session/run-systemd-session unity-session.target
! louis 1221 tty1 /bin/sh /usr/lib/gnome-session/run-systemd-session unity-session.target
! louis 1405 tty1 systemctl --user start --wait unity-session.target
! louis 24795 pts/0 bash
! root 31428 pts/0 /bin/sh /usr/sbin/chkrootkit -q
! root 31985 pts/0 ./chkutmp
! root 31987 pts/0 ps axk tty,ruser,args -o tty,pid,ruser,args
! root 31986 pts/0 sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
! root 31427 pts/0 sudo chkrootkit -q
not tested
louis@louis-p6-2031fr:~$
Hélas pour moi c'est du chinois …
Edit : au moment où j'ai fait ça, le pare-feu était actif, il n'y avait pas de "tentative d'intrusion" (si c'en est une).
Bonne soirée,
L.
Dernière modification par LouisV (Le 06/10/2019, à 08:45)
(Ubuntu 18.04)
Hors ligne