Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 29/03/2013, à 18:12

renaud07

Attaque pirate ?

Bonjour,

Ce matin j'ai remarqué que quelqu'un (ou quelque chose) téléchargeait sur mon serveur, étonné je vais jeter un coup d’œil dans les logs d'apache et je regarde également le ssh en faisant un sftp-who, mais bizarrement rien n’apparaît. Je décide donc de débrancher le câble ethernet pour couper la connexion, j'attends un peu, je remet et paf ça recommence ! Dans le doute j'ai alors fermé ports sur ma box mais ça continuait toujours. Après ça j'ai rebooté ma box et le serveur et ça c'est arrêté.

Une idée ?

Merci smile

Dernière modification par renaud07 (Le 29/03/2013, à 18:14)


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#2 Le 29/03/2013, à 19:43

tiramiseb

Re : Attaque pirate ?

Aucune idée, car tu as enlevé toute possibilité de comprendre ce qu'il se passait.
Tu aurais dû regarder quels ports étaient ouverts à ce moment-là, avec netstat -tanpu par exemple.

Hors ligne

#3 Le 29/03/2013, à 20:21

src

Re : Attaque pirate ?

Comment as-tu vu que "quelqu'un téléchargeait" depuis ton serveur ?
Quels sont les rôles et les applications installées sur ce serveur ?


Actuellement sur Manjaro Xfce (amd64)

Hors ligne

#4 Le 29/03/2013, à 20:26

renaud07

Re : Attaque pirate ?

Arf, dommage je ne connaissais pas cette commande hmm sinon effectivement, je viens de la passer et elle donne tout le détail sur les ports et les IP, d'ailleurs je viens de voir un truc bizarre :

tcp6       1      1 192.168.1.2:59951       207.223.240.70:80       LAST_ACK    -          

Et ça me renvoie sur ça : http://207.223.240.70/allPlans.action;j … 526A4D6B1E

késako ?


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#5 Le 29/03/2013, à 20:32

tiramiseb

Re : Attaque pirate ?

késako ?

C'est marqué tout en bas : Atlassian Bamboo.
Je ne connais pas ce truc, mais tu as probablement installé quelque chose lié à ça.

Avec sudo, ça donne quoi ?

sudo netstat -tanpu

Hors ligne

#6 Le 29/03/2013, à 20:33

renaud07

Re : Attaque pirate ?

src a écrit :

Comment as-tu vu que "quelqu'un téléchargeait" depuis ton serveur ?
Quels sont les rôles et les applications installées sur ce serveur ?

Les voyants (switch, cpl, box) c'est fait pourquoi ? tongue

Pour ce qui est des appli installées, j'ai apache, bind, squid, samba, ssh


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#7 Le 29/03/2013, à 21:13

renaud07

Re : Attaque pirate ?

tiramiseb a écrit :

késako ?

C'est marqué tout en bas : Atlassian Bamboo.
Je ne connais pas ce truc, mais tu as probablement installé quelque chose lié à ça.

Avec sudo, ça donne quoi ?

sudo netstat -tanpu

Je ne vois pas ce que c'est non plus (cf message précédent pour les logs installés) et pour le sudo je suis sur debian donc ça marche pas wink

Dernière modification par renaud07 (Le 29/03/2013, à 21:15)


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#8 Le 29/03/2013, à 21:16

tiramiseb

Re : Attaque pirate ?

Tu as exécuté la commande netstat en utilisateur simple, du coup la dernière ligne, qui devrait indiquer le processus à l'origine de cette connexion, contient "-".

En tant que root tu devrais obtenir le nom de processus. Par conséquent, si tu ne peux pas utiliser sudo (qui est bel et bien présent sur Debian, mais pas configuré de la même manière que sur Ubuntu), bah exécute netstat -tanpu directement en root.

Hors ligne

#9 Le 29/03/2013, à 21:20

renaud07

Re : Attaque pirate ?

tiramiseb a écrit :

En tant que root tu devrais obtenir le nom de processus. Par conséquent, si tu ne peux pas utiliser sudo (qui est bel et bien présent sur Debian, mais pas configuré de la même manière que sur Ubuntu), bah exécute netstat -tanpu directement en root.

Pourtant j'y suis bien en root hmm

root@serveur:~# netstat -tanpu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 0.0.0.0:1194            0.0.0.0:*               LISTEN      1828/openvpn    
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1681/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      890/portmap     
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      2007/perl       
tcp        0      0 0.0.0.0:33684           0.0.0.0:*               LISTEN      902/rpc.statd   
tcp        0      0 192.168.1.2:53          0.0.0.0:*               LISTEN      1406/named      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1406/named      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1893/sshd       
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      1868/(squid)    
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1406/named      
tcp        0      0 127.0.0.1:3306          127.0.0.1:53710         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53711         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53708         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53712         ESTABLISHED 1681/mysqld     
tcp        0      0 127.0.0.1:3306          127.0.0.1:53709         ESTABLISHED 1681/mysqld     
tcp        0      0 192.168.1.2:22          192.168.1.3:40350       ESTABLISHED 4368/sshd: root@not
tcp        0      0 192.168.1.2:22          192.168.1.3:48533       ESTABLISHED 5989/0          
tcp6       0      0 :::139                  :::*                    LISTEN      1404/smbd       
tcp6       0      0 :::5229                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::80                   :::*                    LISTEN      1430/apache2    
tcp6       0      0 :::7443                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::5269                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::22                   :::*                    LISTEN      1893/sshd       
tcp6       0      0 :::443                  :::*                    LISTEN      1430/apache2    
tcp6       0      0 :::445                  :::*                    LISTEN      1404/smbd       
tcp6       0      0 :::7070                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::7777                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::9090                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::9091                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::5222                 :::*                    LISTEN      1746/java       
tcp6       0      0 :::5223                 :::*                    LISTEN      1746/java       
tcp6       0      0 192.168.1.2:443         192.168.1.3:39432       ESTABLISHED 4988/apache2    
tcp6       1      1 192.168.1.2:50662       207.223.240.70:80       LAST_ACK    -               
tcp6       0      0 127.0.0.1:53712         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 127.0.0.1:53709         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 192.168.1.2:445         192.168.1.3:60983       ESTABLISHED 5179/smbd       
tcp6       0      0 192.168.1.2:445         192.168.1.3:60902       ESTABLISHED 5171/smbd       
tcp6       0      0 127.0.0.1:53711         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 192.168.1.2:445         192.168.1.3:59980       ESTABLISHED 5005/smbd       
tcp6       0      0 127.0.0.1:53708         127.0.0.1:3306          ESTABLISHED 1746/java       
tcp6       0      0 192.168.1.2:443         192.168.1.3:39614       ESTABLISHED 4689/apache2    
tcp6       1      1 192.168.1.2:59951       207.223.240.70:80       LAST_ACK    -               
tcp6       0      0 127.0.0.1:53710         127.0.0.1:3306          ESTABLISHED 1746/java       
udp        0      0 192.168.1.2:53          0.0.0.0:*                           1406/named      
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1406/named      
udp        0      0 0.0.0.0:3130            0.0.0.0:*                           1868/(squid)    
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1534/dhcpd      
udp        0      0 0.0.0.0:45388           0.0.0.0:*                           1868/(squid)    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1492/avahi-daemon: 
udp        0      0 0.0.0.0:55151           0.0.0.0:*                           902/rpc.statd   
udp        0      0 0.0.0.0:111             0.0.0.0:*                           890/portmap     
udp        0      0 0.0.0.0:54648           0.0.0.0:*                           1492/avahi-daemon: 
udp        0      0 192.168.1.255:137       0.0.0.0:*                           1372/nmbd       
udp        0      0 192.168.1.2:137         0.0.0.0:*                           1372/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1372/nmbd       
udp        0      0 192.168.1.255:138       0.0.0.0:*                           1372/nmbd       
udp        0      0 192.168.1.2:138         0.0.0.0:*                           1372/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1372/nmbd       
udp        0      0 0.0.0.0:654             0.0.0.0:*                           902/rpc.statd   
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           2007/perl       
udp6       0      0 :::5353                 :::*                                1492/avahi-daemon: 
udp6       0      0 :::55201                :::*                                1492/avahi-daemon: 

EDIT  : Je viens de refaire la commande et ce truc a disparu.

Dernière modification par renaud07 (Le 29/03/2013, à 21:23)


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#10 Le 29/03/2013, à 21:23

tiramiseb

Re : Attaque pirate ?

Désolé je n'avais pas fait gaffe que c'était en "LAST_ACK" et non en "ESTABLISHED"...

Hors ligne

#11 Le 29/03/2013, à 21:25

renaud07

Re : Attaque pirate ?

Ça correspond à quoi LAST_ACK ?


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#12 Le 29/03/2013, à 21:26

tiramiseb

Re : Attaque pirate ?

C'est une connexion en cours de fermeture (en attente du dernier acquittement de la conversation) : le programme qui communiquait peut déjà s'être arrêté...
http://www.delafond.org/traducmanfr/man … .html#lbAM

Dernière modification par tiramiseb (Le 29/03/2013, à 21:29)

Hors ligne

#13 Le 29/03/2013, à 21:29

renaud07

Re : Attaque pirate ?

Je viens de penser que j'ai aussi installé openfire et vu que dans la liste du lien que j'ai donné y'a des trucs en rapport marqué c'est peut-être ça en fait. Fausse alerte alors.


Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne