#1 Le 27/10/2012, à 22:57
- Humanbeing
Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Bonjour à tous,
Etant à l'étranger où la connexion se paye au MB près, une conso anormale m'a alertée sur ma machine (Asus G73JH ubuntu 12.04)
J'ai jeté un oeil au moniteur, sans aucune appli lancée il m'affiche une conso inconnue qui me mange 4Mo/h. Ok c'est petit mais ici c'est cher (5€/100Mo) et je suis parti pour rester un an
Voici la liste de mes processus (voici ma vie, amis ) si quelqu'un voit un truc pas normal merci infiniment de m'en faire part il y a beaucoup de chose que je ne trouve pas normales mais je n'ai pas encore eu le temps et les compétences de pister ce que c'était :
PID TTY TIME CMD
1 ? 00:00:01 init
2 ? 00:00:00 kthreadd
3 ? 00:00:00 ksoftirqd/0
6 ? 00:00:00 migration/0
7 ? 00:00:00 watchdog/0
8 ? 00:00:00 migration/1
10 ? 00:00:00 ksoftirqd/1
12 ? 00:00:00 watchdog/1
13 ? 00:00:00 migration/2
15 ? 00:00:00 ksoftirqd/2
16 ? 00:00:00 watchdog/2
17 ? 00:00:00 migration/3
19 ? 00:00:00 ksoftirqd/3
20 ? 00:00:00 watchdog/3
21 ? 00:00:00 migration/4
22 ? 00:00:00 kworker/4:0
23 ? 00:00:00 ksoftirqd/4
24 ? 00:00:00 watchdog/4
25 ? 00:00:00 migration/5
26 ? 00:00:00 kworker/5:0
27 ? 00:00:00 ksoftirqd/5
28 ? 00:00:00 watchdog/5
29 ? 00:00:00 migration/6
31 ? 00:00:00 ksoftirqd/6
32 ? 00:00:00 watchdog/6
33 ? 00:00:00 migration/7
34 ? 00:00:00 kworker/7:0
35 ? 00:00:00 ksoftirqd/7
36 ? 00:00:00 watchdog/7
37 ? 00:00:00 cpuset
38 ? 00:00:00 khelper
39 ? 00:00:00 kdevtmpfs
40 ? 00:00:00 netns
42 ? 00:00:00 sync_supers
43 ? 00:00:00 bdi-default
44 ? 00:00:00 kintegrityd
45 ? 00:00:00 kblockd
46 ? 00:00:00 ata_sff
47 ? 00:00:00 khubd
48 ? 00:00:00 md
50 ? 00:00:02 kworker/2:1
51 ? 00:00:02 kworker/3:1
52 ? 00:00:00 kworker/4:1
53 ? 00:00:00 kworker/5:1
54 ? 00:00:01 kworker/6:1
55 ? 00:00:00 kworker/7:1
57 ? 00:00:00 khungtaskd
58 ? 00:00:00 kswapd0
59 ? 00:00:00 ksmd
60 ? 00:00:00 khugepaged
61 ? 00:00:00 fsnotify_mark
62 ? 00:00:00 ecryptfs-kthrea
63 ? 00:00:00 crypto
71 ? 00:00:00 kthrotld
73 ? 00:00:00 scsi_eh_0
74 ? 00:00:00 scsi_eh_1
75 ? 00:00:00 scsi_eh_2
76 ? 00:00:00 scsi_eh_3
77 ? 00:00:00 scsi_eh_4
78 ? 00:00:00 kworker/u:3
79 ? 00:00:00 kworker/u:4
100 ? 00:00:00 devfreq_wq
317 ? 00:00:00 kworker/2:2
412 ? 00:00:00 kjournald
573 ? 00:00:00 upstart-udev-br
625 ? 00:00:00 udevd
678 ? 00:00:00 rsyslogd
682 ? 00:00:02 dbus-daemon
779 ? 00:00:00 bluetoothd
813 ? 00:00:00 kpsmoused
884 ? 00:00:00 kmpathd
887 ? 00:00:00 kmpath_handlerd
916 ? 00:00:00 kworker/3:2
975 ? 00:00:00 irq/50-mei
977 ? 00:00:00 edac-poller
999 ? 00:00:00 smbd
1005 ? 00:00:00 led_workqueue
1029 ? 00:00:00 hd-audio0
1034 ? 00:00:00 hd-audio1
1040 ? 00:00:00 upstart-socket-
1047 ? 00:00:00 cfg80211
1058 ? 00:00:00 avahi-daemon
1059 ? 00:00:00 avahi-daemon
1060 ? 00:00:00 krfcommd
1062 ? 00:00:00 cupsd
1096 ? 00:00:00 modem-manager
1162 ? 00:00:00 colord
1163 ? 00:00:00 NetworkManager
1171 ? 00:00:00 smbd
1174 ? 00:00:02 polkitd
1211 tty4 00:00:00 getty
1220 tty5 00:00:00 getty
1292 tty2 00:00:00 getty
1294 tty3 00:00:00 getty
1297 tty6 00:00:00 getty
1320 ? 00:00:00 acpid
1322 ? 00:00:00 lightdm
1332 ? 00:00:00 whoopsie
1340 ? 00:00:01 irqbalance
1342 ? 00:00:00 cron
1343 ? 00:00:00 atd
1403 tty7 00:03:28 Xorg
1408 ? 00:00:00 kdmflush
1418 ? 00:00:00 kcryptd_io
1419 ? 00:00:00 kcryptd
1441 ? 00:00:00 firegl
1442 ? 00:00:00 firegl
1443 ? 00:00:00 firegl
1525 ? 00:00:00 vmware-vmblock-
1556 ? 00:00:00 vmnet-bridge
1565 ? 00:00:00 vmnet-netifup
1571 ? 00:00:00 vmnet-dhcpd
1574 ? 00:00:00 vmnet-natd
1576 ? 00:00:00 vmnet-netifup
1581 ? 00:00:00 vmnet-dhcpd
1593 ? 00:00:00 vmware-authdlau
1630 ? 00:00:00 vmware-usbarbit
1837 ? 00:00:00 timidity
1848 tty1 00:00:00 getty
1860 ? 00:00:00 accounts-daemon
1877 ? 00:00:00 console-kit-dae
1950 ? 00:00:00 kworker/6:2
1991 ? 00:00:04 upowerd
2183 ? 00:00:00 lightdm
2219 ? 00:00:00 rtkit-daemon
2276 ? 00:00:00 gnome-keyring-d
2287 ? 00:00:00 gnome-session
2322 ? 00:00:00 ssh-agent
2325 ? 00:00:00 dbus-launch
2326 ? 00:00:04 dbus-daemon
2337 ? 00:00:05 gnome-settings-
2344 ? 00:00:00 gvfsd
2346 ? 00:00:00 gvfs-fuse-daemo
2353 ? 00:15:08 compiz
2359 ? 00:00:01 syndaemon
2364 ? 00:00:00 pulseaudio
2368 ? 00:00:00 gconfd-2
2371 ? 00:00:00 gconf-helper
2373 ? 00:00:00 gvfsd-metadata
2376 ? 00:00:00 polkit-gnome-au
2378 ? 00:00:01 nm-applet
2379 ? 00:00:02 vpnautoconnect
2380 ? 00:00:00 bluetooth-apple
2381 ? 00:00:00 gnome-fallback-
2383 ? 00:00:04 nautilus
2393 ? 00:00:16 lvpnc
2398 ? 00:00:00 gvfs-gdu-volume
2400 ? 00:00:00 udisks-daemon
2401 ? 00:00:00 udisks-daemon
2406 ? 00:00:00 gvfs-afc-volume
2409 ? 00:00:00 gvfs-gphoto2-vo
2411 ? 00:00:00 gvfsd-trash
2415 ? 00:00:00 gvfsd-burn
2417 ? 00:00:00 notify-osd
2425 ? 00:00:00 gnome-screensav
2436 ? 00:00:00 flush-ecryptfs-
2443 ? 00:00:02 bamfdaemon
2451 ? 00:00:00 sh
2452 ? 00:00:01 gtk-window-deco
2455 ? 00:00:10 unity-panel-ser
2463 ? 00:00:00 indicator-print
2465 ? 00:00:00 indicator-messa
2467 ? 00:00:00 indicator-datet
2471 ? 00:00:02 indicator-appli
2474 ? 00:00:00 indicator-sessi
2476 ? 00:00:00 indicator-sound
2500 ? 00:00:00 geoclue-master
2510 ? 00:00:00 ubuntu-geoip-pr
2520 ? 00:00:08 hud-service
2544 ? 00:00:00 gdu-notificatio
2562 ? 00:00:00 telepathy-indic
2569 ? 00:00:00 mission-control
2574 ? 00:00:00 goa-daemon
2592 ? 00:00:00 unity-applicati
2594 ? 00:00:00 unity-files-dae
2596 ? 00:00:00 unity-music-dae
2598 ? 00:00:00 unity-lens-vide
2624 ? 00:00:00 zeitgeist-daemo
2630 ? 00:00:00 zeitgeist-fts
2632 ? 00:00:00 zeitgeist-datah
2641 ? 00:00:00 cat
2663 ? 00:00:00 unity-scope-vid
2806 ? 00:00:00 ubuntuone-syncd
2956 ? 00:00:00 update-notifier
2977 ? 00:00:00 system-service-
2993 ? 00:00:00 dconf-service
3116 ? 00:00:00 truecrypt
3118 ? 00:00:00 truecrypt
3131 ? 00:00:00 kdmflush
3156 ? 00:00:00 kcryptd_io
3157 ? 00:00:00 kcryptd
3169 ? 00:00:00 kjournald
3363 ? 00:00:00 udevd
3364 ? 00:00:00 udevd
3385 ? 00:00:00 usbmuxd
3400 ? 00:00:00 gvfsd-afc
3407 ? 00:00:00 gvfsd-afc
3630 ? 00:00:00 nmbd
3824 ? 00:00:00 at-spi-bus-laun
3932 ? 00:00:00 gvfsd-http
4004 ? 00:00:00 oosplash
4022 ? 00:00:05 soffice.bin
5276 ? 00:00:03 kworker/1:0
5359 ? 00:01:44 firefox
5670 ? 00:00:00 dbus
7089 ? 00:00:03 dnsmasq
12531 ? 00:00:00 kworker/0:1
14115 ? 00:00:00 kworker/1:2
14122 ? 00:00:00 kworker/0:2
14334 ? 00:00:00 flush-8:16
15076 ? 00:00:00 kworker/0:0
15351 ? 00:00:00 kworker/1:1
15356 ? 00:00:00 gnome-terminal
15362 ? 00:00:00 gnome-pty-helpe
15363 pts/0 00:00:00 bash
15924 pts/0 00:00:00 sudo
15946 pts/0 00:00:00 su
15954 pts/0 00:00:00 bash
16009 pts/0 00:00:00 ps
J'ai jeté un oeil à iftop sur mon interface normale (eth1) pour lister les processus par utilisation réseau, et il m'indique une conso anormale de ma machine locale vers ces adresses (et depuis ces adresses) :
178.73.212.245 (dont le whois donne sur la société ripe : (http://www.whois.net/ip-address-lookup/178.73.212.245) qui est ici : https://www.ripe.net
syd01s12-in-f23.1e100.net (Whois non dispo, tapé dans une barre de navig' ça redirige vers google)
A savoir qu'il y a beaucoup de trafic vers beaucoup d'adresses similaires, seule le chiffre derrière le "f" change.
rdns1.ihug.net (Whois non dispo, rien en http via le browser)
J'utilise quotidiennement un VPN (alors là niveau trafic pour rien, c'est pire, j'ai des adresses du monde entier qui échange avec ma machine et me bouffe ma connexion, génial...)
Quelqu'un à une idée ?
Dernière modification par Humanbeing (Le 27/10/2012, à 22:59)
Hors ligne
#2 Le 27/10/2012, à 23:30
- gogy
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Une idée d’où ça provient non mais l'idée de paramétrer le pare-feu, oui !
doc.ubuntu-fr.org/ufw
doc.ubuntu-fr.org/gufw
Dernière modification par gogy (Le 27/10/2012, à 23:30)
On n'est pas des manchots quand on sait remplacer une fenêtre !
Intel® Core™2 Duo CPU E6850 @ 3.00GHz × 2 / RAM : 2,0 Gio
Lucid 10.04 / Precise 12.04
Hors ligne
#3 Le 28/10/2012, à 02:45
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Vlah ! Dans les dents bien dit ! Et c'est une proposition pleine de sagesse (à laquelle je m'attendais )
Mais il doit bien avoir un processus qui permet la communication, j'aimerai éradiquer la source du problème... Je m'attelle au firewall, mais si quelqu'un à une idée de l'origine de ces échanges... Et surtout savoir quelles sont les informations qui sont envoyées ! Il y a un moyen pour savoir ça ?
Merci à tous, merci à toi Gogy
Hors ligne
#4 Le 28/10/2012, à 04:26
- nesthib
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Utilise netstat pour déterminer quel process utilise cette adresse IP et avec quel protocole, ensuite utilise lsof pour trouver le programme associé.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#5 Le 28/10/2012, à 04:39
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Merci nesthib Je test ça.
News : J'ai configuré ufw comme ceci :
État : actif
Journalisation : on (medium)
Par défaut : deny (entrant), deny (sortant)
Nouveaux profils : skip
Vers Action Depuis
---- ------ ------
53 ALLOW OUT Anywhere
25/tcp ALLOW OUT Anywhere
25,110,143/tcp ALLOW OUT Anywhere
143 ALLOW OUT Anywhere
110 ALLOW OUT Anywhere
80/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
53 ALLOW OUT Anywhere (v6)
25/tcp ALLOW OUT Anywhere (v6)
143 ALLOW OUT Anywhere (v6)
110 ALLOW OUT Anywhere (v6)
80/tcp ALLOW OUT Anywhere (v6)
443/tcp ALLOW OUT Anywhere (v6)
Normalement c'est bateau et devrait suffire. Mais j'ai encore du trafic ! Et j'ai le petit commentaire de gufw en haut à droit qui me balance des centaines de "dnsmasq sur [pleinDePorts] UDP"
Normal ??
Hors ligne
#6 Le 28/10/2012, à 05:00
- nesthib
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Avant de configurer quoi que ce soit, intéresse-toi au programme qui génère le trafic.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#7 Le 28/10/2012, à 10:29
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Oui tu as raison, mais je n'ai pas l'impression que le firewall change grand chose en fait. Mais je l'ai désactivé pour ce qui va suivre.
Si tu as la patience de regarder mon netstat -taupe quand je suis online, il y a des choses étranges mais ça sort de mes compétences...
On voit le nom du programme directement (plus besoin de lsof non?)
Je trouve bizare le netbios si sollicité. Et le programme gvfsd-http (que je ne trouve nul part, ni avec whereis, ni avec le whatis, ni avec ps -A, ni dans les rcx.d dans /etc)
Il y a peu de chose en connexion établie pourtant... là je sèche j'atteins mes limites... si tu veux que je tape une commande plus précise pour netstat n'hésite pas, merci à toi
D'après iftop, l'adresse locale est la source de ce trafic (normal, mais c'est tantôt le nom de mon pc tantôt l'adresse 172.20.10.xx ou xx change souvent) Elle reçois beaucoup des adresse citées au premier post.
Je désespère.
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat User Inode PID/Program name
tcp 0 0 *:netbios-ssn *:* LISTEN root 9109 999/smbd
tcp 0 0 localhost:domain *:* LISTEN root 742054 17103/dnsmasq
tcp 0 0 localhost:ipp *:* LISTEN root 45170 1062/cupsd
tcp 0 0 *:2011 *:* LISTEN vrizzt 484189 21408/thunderbird
tcp 0 0 *:microsoft-ds *:* LISTEN root 9107 999/smbd
tcp 0 0 *:902 *:* LISTEN root 12613 1593/vmware-authdla
tcp 1 0 BlackBird.local:52669 mechant.infra.ubun:http CLOSE_WAIT vrizzt 742956 5359/firefox
tcp 1 0 BlackBird.local:52660 mechant.infra.ubun:http CLOSE_WAIT vrizzt 740017 5359/firefox
tcp 1 0 BlackBird.local:57714 barbadine.canonica:http CLOSE_WAIT vrizzt 287026 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50550 barbadine.canonica:http CLOSE_WAIT vrizzt 23517 3932/gvfsd-http
tcp 0 0 BlackBird.local:52667 mechant.infra.ubun:http ESTABLISHED vrizzt 740122 5359/firefox
tcp 1 0 dhcp-5-254-141-11:50539 barbadine.canonica:http CLOSE_WAIT vrizzt 16356 3932/gvfsd-http
tcp 0 0 BlackBird.local:52668 mechant.infra.ubun:http ESTABLISHED vrizzt 742955 5359/firefox
tcp 1 0 BlackBird.local:57720 barbadine.canonica:http CLOSE_WAIT vrizzt 289028 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50542 barbadine.canonica:http CLOSE_WAIT vrizzt 23362 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50558 barbadine.canonica:http CLOSE_WAIT vrizzt 32699 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50559 barbadine.canonica:http CLOSE_WAIT vrizzt 32700 3932/gvfsd-http
tcp 1 0 BlackBird.local:52665 mechant.infra.ubun:http CLOSE_WAIT vrizzt 742934 5359/firefox
tcp 1 0 BlackBird.local:57718 barbadine.canonica:http CLOSE_WAIT vrizzt 289026 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50543 barbadine.canonica:http CLOSE_WAIT vrizzt 21203 3932/gvfsd-http
tcp 1 0 BlackBird.local:52679 mulberry.canonical:http CLOSE_WAIT vrizzt 740951 2510/ubuntu-geoip-p
tcp 1 0 BlackBird.local:57719 barbadine.canonica:http CLOSE_WAIT vrizzt 289027 3932/gvfsd-http
tcp 1 0 BlackBird.local:57705 barbadine.canonica:http CLOSE_WAIT vrizzt 282051 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50551 barbadine.canonica:http CLOSE_WAIT vrizzt 23518 3932/gvfsd-http
tcp 1 0 BlackBird.local:57704 barbadine.canonica:http CLOSE_WAIT vrizzt 282050 3932/gvfsd-http
tcp 1 0 BlackBird.local:57713 barbadine.canonica:http CLOSE_WAIT vrizzt 287025 3932/gvfsd-http
tcp 1 0 dhcp-5-254-141-11:50544 barbadine.canonica:http CLOSE_WAIT vrizzt 16367 3932/gvfsd-http
tcp6 0 0 [::]:netbios-ssn [::]:* LISTEN root 9105 999/smbd
tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN root 45169 1062/cupsd
tcp6 0 0 [::]:microsoft-ds [::]:* LISTEN root 9102 999/smbd
udp 0 0 *:52830 *:* avahi 9571 1058/avahi-daemon:
udp 0 0 localhost:domain *:* root 742053 17103/dnsmasq
udp 0 0 *:bootpc *:* root 743580 17097/dhclient
udp 0 0 172.20.10.15:netbios-ns *:* root 729885 3630/nmbd
udp 0 0 BlackBird.lo:netbios-ns *:* root 729884 3630/nmbd
udp 0 0 172.16.180.2:netbios-ns *:* root 20136 3630/nmbd
udp 0 0 BlackBird.lo:netbios-ns *:* root 20135 3630/nmbd
udp 0 0 192.168.37.2:netbios-ns *:* root 20128 3630/nmbd
udp 0 0 BlackBird.lo:netbios-ns *:* root 20127 3630/nmbd
udp 0 0 *:netbios-ns *:* root 20124 3630/nmbd
udp 0 0 172.20.10.1:netbios-dgm *:* root 729887 3630/nmbd
udp 0 0 BlackBird.l:netbios-dgm *:* root 729886 3630/nmbd
udp 0 0 172.16.180.:netbios-dgm *:* root 20138 3630/nmbd
udp 0 0 BlackBird.l:netbios-dgm *:* root 20137 3630/nmbd
udp 0 0 192.168.37.:netbios-dgm *:* root 20130 3630/nmbd
udp 0 0 BlackBird.l:netbios-dgm *:* root 20129 3630/nmbd
udp 0 0 *:netbios-dgm *:* root 20125 3630/nmbd
udp 0 0 localhost:54281 localhost:domain ESTABLISHED vrizzt 752147 -
udp 0 0 *:mdns *:* avahi 9569 1058/avahi-daemon:
udp 0 0 *:46610 *:* nobody 753845 -
udp6 0 0 [::]:39330 [::]:* avahi 9572 1058/avahi-daemon:
udp6 0 0 [::]:mdns [::]:* avahi 9570 1058/avahi-daemon:
Hors ligne
#8 Le 28/10/2012, à 17:53
- nesthib
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Pour l'instant je ne vois rien d'étrange. gvfsd est le démon de système de fichier virtuels de GNOME, c'est ce qui est utilisé si tu montes des partages de fichiers (il est dans /usr/lib en l'occurrence).
Pour tes IP/hôtes dans le message #1, la première correspond au RIPE, l'organisation qui gère les IP européennes, je suppose que tu as contacté leur serveur en faisant des whois.
Le second est effectivement un domaine de google, quant au dernier il s'agit d'un domaine d'un FAI australien dépendant de vodafone, serait-ce ton FAI ?
Y a-t-il une raison particulière pour passer tout ton trafic par VPN ? Ne peux-tu pas encapsuler que les services critiques ?
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#9 Le 28/10/2012, à 23:37
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Chapeau Nesthib Oui mon FAI est vodaphone, j'utilise mon iphone pour partager la connexion internet à mes ordis. Je suis curieux de savoir comment tu as réussi à chopé cette info un whois spécial sur un petit bout de l'adresse ?
Je n'ai pas de problèmeme de débit avec le mac de ma belle, pourquoi est-ce que ces serveurs discutent uniquement avec ma machine, mangeant mes précieux mb ?
Déjà merci de ton temps, je pense que j'en arrive aux dernières questions, peux-tu m'éclairer encore quelques minutes et je te libère ;P Merci à toi.
Que dois-je interpréter des lignes dans netstat où l'état reste vide (ni wait etc.)
J'ai fais cette commande (sudo lsof -n -P -i +c 15) qui m'a donné ceci :
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
smbd 999 root 27u IPv6 9102 0t0 TCP *:445 (LISTEN)
smbd 999 root 28u IPv6 9105 0t0 TCP *:139 (LISTEN)
smbd 999 root 29u IPv4 9107 0t0 TCP *:445 (LISTEN)
smbd 999 root 30u IPv4 9109 0t0 TCP *:139 (LISTEN)
avahi-daemon 1058 avahi 13u IPv4 9569 0t0 UDP *:5353
avahi-daemon 1058 avahi 14u IPv6 9570 0t0 UDP *:5353
avahi-daemon 1058 avahi 15u IPv4 9571 0t0 UDP *:52830
avahi-daemon 1058 avahi 16u IPv6 9572 0t0 UDP *:39330
cupsd 1062 root 9u IPv6 45169 0t0 TCP [::1]:631 (LISTEN)
cupsd 1062 root 10u IPv4 45170 0t0 TCP 127.0.0.1:631 (LISTEN)
vmware-authdlau 1593 root 8u IPv4 12613 0t0 TCP *:902 (LISTEN)
[b]ubuntu-geoip-pr 2510 vrizzt 24u IPv4 926590 0t0 TCP 172.20.10.2:52927->91.189.94.25:80 (CLOSE_WAIT)[/b]
nmbd 3630 root 4u IPv4 919289 0t0 UDP 172.20.10.2:137
nmbd 3630 root 9u IPv4 20124 0t0 UDP *:137
nmbd 3630 root 10u IPv4 20125 0t0 UDP *:138
nmbd 3630 root 11u IPv4 20127 0t0 UDP 192.168.37.1:137
nmbd 3630 root 12u IPv4 20128 0t0 UDP 192.168.37.255:137
nmbd 3630 root 13u IPv4 20129 0t0 UDP 192.168.37.1:138
nmbd 3630 root 14u IPv4 20130 0t0 UDP 192.168.37.255:138
nmbd 3630 root 15u IPv4 919290 0t0 UDP 172.20.10.15:137
nmbd 3630 root 16u IPv4 919291 0t0 UDP 172.20.10.2:138
nmbd 3630 root 17u IPv4 919292 0t0 UDP 172.20.10.15:138
nmbd 3630 root 19u IPv4 20135 0t0 UDP 172.16.180.1:137
nmbd 3630 root 20u IPv4 20136 0t0 UDP 172.16.180.255:137
nmbd 3630 root 21u IPv4 20137 0t0 UDP 172.16.180.1:138
nmbd 3630 root 22u IPv4 20138 0t0 UDP 172.16.180.255:138
gvfsd-http 3932 vrizzt 10u IPv4 23362 0t0 TCP 5.254.141.113:50542->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 11u IPv4 289026 0t0 TCP 172.20.10.2:57718->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 12u IPv4 16356 0t0 TCP 5.254.141.113:50539->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 13u IPv4 21203 0t0 TCP 5.254.141.113:50543->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 14u IPv4 16367 0t0 TCP 5.254.141.113:50544->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 15u IPv4 282051 0t0 TCP 172.20.10.2:57705->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 16u IPv4 23517 0t0 TCP 5.254.141.113:50550->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 17u IPv4 23518 0t0 TCP 5.254.141.113:50551->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 18u IPv4 32700 0t0 TCP 5.254.141.113:50559->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 19u IPv4 32699 0t0 TCP 5.254.141.113:50558->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 20u IPv4 282050 0t0 TCP 172.20.10.2:57704->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 22u IPv4 287025 0t0 TCP 172.20.10.2:57713->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 23u IPv4 287026 0t0 TCP 172.20.10.2:57714->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 26u IPv4 289027 0t0 TCP 172.20.10.2:57719->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-http 3932 vrizzt 27u IPv4 289028 0t0 TCP 172.20.10.2:57720->91.189.89.31:80 (CLOSE_WAIT)
dhclient 6481 root 6u IPv4 917413 0t0 UDP *:68
dnsmasq 6488 nobody 4w IPv4 925548 0t0 UDP 127.0.0.1:53
dnsmasq 6488 nobody 5u IPv4 925549 0t0 TCP 127.0.0.1:53 (LISTEN)
Je me pose quand même la question d'un si grand nombre de gvfsd donnant sur de telles adresses extérieures (canonical), de même que netbios, d'autant que je ne partage rien sur mon PC, ni ne monte des partages de fichiers.
Le service gvfsd pointe bcp vers les adesses de cononical, déjà que font ils avec autant d'accès sur mon pc ? T'as une idée pour virer ça ?
barbadine.canonica:http
mulberry.canonical:http
mechant.infra.ubun:http
Il y a aussi le service ubuntu-geoip-p qui est d'après ce que j'ai compris un service de géolocalisation d'ubuntu et de syncro du temps. Il permet la géolocalisation etc. Euh... est-ce vraiment utile, j'aimerai le désactiver sinon, il se trouve dans /usr/lib/ubuntu-geomachin. Je le supprime à cet emplacement et ça suffi ?
J'ai lu qu'on pouvait éditer (sudo gedit /etc/default/ntpdate) et mettre la ligne "exit0" pour s'en débarasser... qu'en pense tu ?
De même qu'enlever l'execution de /usr/lib/geoclue/geoclue-master et /usr/lib/ubuntu-geoip/ubuntu-geoip-provider pour garder la sync du temps et virer le service de géo. Qu'en pense tu ?
Merci
Peux tu me donner une piste pour identifier ce qu'est :
udp 0 0 *:bootpc *:* root 743580 17097/dhclient
Car je ne vois pas le rapport entre le service dhclient et le boot de mon pc, ça veut dire que j'envoie un paquet udp à n'importe qui au démarrage, spécifiant l'état du service dhcp de mon pc ?
udp 0 0 localhost:domain *:* root 901060 3835/dnsmasq
Je n'utilise pas de serveur dns sur mon pc, et d'après mon firewall il y quasiment une requette (ou envoi) de (ou part) ce service (dnsmasq), toutes les secondes ! A chaque fois sur un port différent... ce service est nécessaire ? Et surtout qu'est ce que cela révèle ?
udp 0 0 localhost:54281 localhost:domain ESTABLISHED vrizzt 752147 -
Ca ça doit être normal mais c'est obcure pour moi, qu'est ce que c'est ?
Je compte désactiver mon demon samba (smbd) et netbios (nmbd), quelles impliquation ? Faut-il que je les cherches dans les rcx.d et les supprimes pour les désactiver ?
Après, la question maîtresse : Ok mon FAI, Google et RIPE communiquent avec mon pc. Déjà est-ce normal ? Je n'aime pas du tout l'idée... Et comment empècher ça, même avec mon firewall avec les règles ci dessus ca passe...
J'en ai fini avec mes questions je pense qu'après ces réponses, je pourrai m'en sortir. Un grand merci à toi Nesthib.
Hors ligne
#10 Le 29/10/2012, à 00:56
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
J'ai remarqué qu'en interdisant la sortie du port 53 (DNS FAI) Tout le trafic inutile s'arrêtait. Pourquoi ça communique autant avec le DNS de mon FAI ? Il m'envoie beaucoup d'info, je lui en envoie moitié moins. Et quand j'affiche les ports, il communique avec BCP de ports...
question, comment controler le trafic ? Pourquoi les mecs me spament mon linux et ma le mac de ma belle ?
J'ai beaucoup de requetes dnsmasq, est-ce normal sur un laptop tout con ?
Hors ligne
#11 Le 29/10/2012, à 01:50
- nesthib
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
ihug.net est le nom d'une branche australienne (ou néo-zélandaise ?) de vodaphone, c'est tout, rien de sorcier
Pour les requêtes DNS c'est une fonction essentielle de ton OS. Si tu bloques les requêtes tu risques de casser pas mal de choses. Peut être devrais-tu monter un DNS en local avec un cache pour éviter de refaire les mêmes requêtes ? (en plus tu gagneras en rapidité)
En ce qui concerne tes services que tu considères inutiles, tu dois pouvoir les désactiver. Fais au moins un essai un par un et vérifie qu'il n'y a pas de bug. Tu devrais effectivement trouver les lanceurs dans rcx mais par précaution je te recommande de faire une recherche pour chacun.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#12 Le 29/10/2012, à 05:26
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Ah ok, tout simplement ;P faut le savoir !
Ok pour le DNS c'est bon je suis calé maintenant. Tu as raison c'est indispensable, dnsmasq est justement un petit serveur DNS en local qui joue les caches. D'où le nombre de requêtes ! Malheureusement je n'arrive pas à lui ouvrir son port dans mon firewall, car je ne connais pas son port !
Pour éviter la surconso due aux DNS de mon FAI, je compte changer de serveur DNS, tu en a testé toi ? Des décentralisés ou non ?
Je pense que pour les adresses canonical, c'est pour les mises à jour. Je creuse. Un grand merci à toi pour tes pistes
Hors ligne
#13 Le 29/10/2012, à 05:28
- nesthib
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Perso j'utilise bind9.
Pour les mises à jours tu peux changer leur fréquence dans les paramètres (ou même les désactiver, mais alors il faut penser à le faire à la main de temps en temps).
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#14 Le 30/10/2012, à 01:16
- nesthib
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Je me suis dit que ça pourrait t'intéresser → Comment désactiver le DNS prefetching
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#15 Le 30/10/2012, à 03:37
- Humanbeing
Re : Intégrité de ma Ubuntu compromise ? Trafic étrange et gourmand vers IP
Merci pour tes liens je garde bind9 précieusement de coté pour mon retour au pays.
Je crois que je suis arrivé à en finir avec la théorie, reste plus qu'a appliquer ! (Choisir un nouveau DNS pour éviter la surconso, et configurer le firewall)
Pour le DNS non je ne compte pas monter mon serveur pour le moment mais juste en utiliser un autre, du genre open-nic etc... Je me demandais si tu en connaissais un de bien.
Pour les mises à jours, et pour quelques autres choses d'ailleurs, je bute sur l'ouverture des ports. Tu sais quels sont les ports concernés par les mises à jours ? Comment peut-on déceler quel appli/service utilise quel port ? Utile pour la configuration de son firewall.
Rah ! Et dnsmasq m'embête avec ses requêtes UDP sur des ports aléatoires (pour éviter le DNS spoofing) Il y a une commande (dnsmasq --query-port= NUMDUPORT) pour fixer un port (plus vulnérable mais seule façon d'avoir un firewall étanche en sortie) mais elle ne marche pas :
root@humanbeing:/home/human# dnsmasq --query-port=45236
dnsmasq: failed to create listening socket for port 53: Adresse déjà utilisée
T'as une idée Nesthib ?
Hors ligne