- Accueil
- » Forum
- » Archives
- » Attaque pirate ?
Pages : 1
#1 Le 29/03/2013, à 19:12
- renaud07
Attaque pirate ?
Bonjour,
Ce matin j'ai remarqué que quelqu'un (ou quelque chose) téléchargeait sur mon serveur, étonné je vais jeter un coup d’œil dans les logs d'apache et je regarde également le ssh en faisant un sftp-who, mais bizarrement rien n’apparaît. Je décide donc de débrancher le câble ethernet pour couper la connexion, j'attends un peu, je remet et paf ça recommence ! Dans le doute j'ai alors fermé ports sur ma box mais ça continuait toujours. Après ça j'ai rebooté ma box et le serveur et ça c'est arrêté.
Une idée ?
Merci
Dernière modification par renaud07 (Le 29/03/2013, à 19:14)
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
#2 Le 29/03/2013, à 20:43
- tiramiseb
Re : Attaque pirate ?
Aucune idée, car tu as enlevé toute possibilité de comprendre ce qu'il se passait.
Tu aurais dû regarder quels ports étaient ouverts à ce moment-là, avec netstat -tanpu par exemple.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 29/03/2013, à 21:21
- src
Re : Attaque pirate ?
Comment as-tu vu que "quelqu'un téléchargeait" depuis ton serveur ?
Quels sont les rôles et les applications installées sur ce serveur ?
Actuellement sur Manjaro Xfce (amd64)
Hors ligne
#4 Le 29/03/2013, à 21:26
- renaud07
Re : Attaque pirate ?
Arf, dommage je ne connaissais pas cette commande sinon effectivement, je viens de la passer et elle donne tout le détail sur les ports et les IP, d'ailleurs je viens de voir un truc bizarre :
tcp6 1 1 192.168.1.2:59951 207.223.240.70:80 LAST_ACK -
Et ça me renvoie sur ça : http://207.223.240.70/allPlans.action;j … 526A4D6B1E
késako ?
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
#5 Le 29/03/2013, à 21:32
- tiramiseb
Re : Attaque pirate ?
késako ?
C'est marqué tout en bas : Atlassian Bamboo.
Je ne connais pas ce truc, mais tu as probablement installé quelque chose lié à ça.
Avec sudo, ça donne quoi ?
sudo netstat -tanpu
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#6 Le 29/03/2013, à 21:33
- renaud07
Re : Attaque pirate ?
Comment as-tu vu que "quelqu'un téléchargeait" depuis ton serveur ?
Quels sont les rôles et les applications installées sur ce serveur ?
Les voyants (switch, cpl, box) c'est fait pourquoi ?
Pour ce qui est des appli installées, j'ai apache, bind, squid, samba, ssh
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
#7 Le 29/03/2013, à 22:13
- renaud07
Re : Attaque pirate ?
késako ?
C'est marqué tout en bas : Atlassian Bamboo.
Je ne connais pas ce truc, mais tu as probablement installé quelque chose lié à ça.Avec sudo, ça donne quoi ?
sudo netstat -tanpu
Je ne vois pas ce que c'est non plus (cf message précédent pour les logs installés) et pour le sudo je suis sur debian donc ça marche pas
Dernière modification par renaud07 (Le 29/03/2013, à 22:15)
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
#8 Le 29/03/2013, à 22:16
- tiramiseb
Re : Attaque pirate ?
Tu as exécuté la commande netstat en utilisateur simple, du coup la dernière ligne, qui devrait indiquer le processus à l'origine de cette connexion, contient "-".
En tant que root tu devrais obtenir le nom de processus. Par conséquent, si tu ne peux pas utiliser sudo (qui est bel et bien présent sur Debian, mais pas configuré de la même manière que sur Ubuntu), bah exécute netstat -tanpu directement en root.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 29/03/2013, à 22:20
- renaud07
Re : Attaque pirate ?
En tant que root tu devrais obtenir le nom de processus. Par conséquent, si tu ne peux pas utiliser sudo (qui est bel et bien présent sur Debian, mais pas configuré de la même manière que sur Ubuntu), bah exécute netstat -tanpu directement en root.
Pourtant j'y suis bien en root
root@serveur:~# netstat -tanpu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 1828/openvpn
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1681/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 890/portmap
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 2007/perl
tcp 0 0 0.0.0.0:33684 0.0.0.0:* LISTEN 902/rpc.statd
tcp 0 0 192.168.1.2:53 0.0.0.0:* LISTEN 1406/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1406/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1893/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1868/(squid)
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1406/named
tcp 0 0 127.0.0.1:3306 127.0.0.1:53710 ESTABLISHED 1681/mysqld
tcp 0 0 127.0.0.1:3306 127.0.0.1:53711 ESTABLISHED 1681/mysqld
tcp 0 0 127.0.0.1:3306 127.0.0.1:53708 ESTABLISHED 1681/mysqld
tcp 0 0 127.0.0.1:3306 127.0.0.1:53712 ESTABLISHED 1681/mysqld
tcp 0 0 127.0.0.1:3306 127.0.0.1:53709 ESTABLISHED 1681/mysqld
tcp 0 0 192.168.1.2:22 192.168.1.3:40350 ESTABLISHED 4368/sshd: root@not
tcp 0 0 192.168.1.2:22 192.168.1.3:48533 ESTABLISHED 5989/0
tcp6 0 0 :::139 :::* LISTEN 1404/smbd
tcp6 0 0 :::5229 :::* LISTEN 1746/java
tcp6 0 0 :::80 :::* LISTEN 1430/apache2
tcp6 0 0 :::7443 :::* LISTEN 1746/java
tcp6 0 0 :::5269 :::* LISTEN 1746/java
tcp6 0 0 :::22 :::* LISTEN 1893/sshd
tcp6 0 0 :::443 :::* LISTEN 1430/apache2
tcp6 0 0 :::445 :::* LISTEN 1404/smbd
tcp6 0 0 :::7070 :::* LISTEN 1746/java
tcp6 0 0 :::7777 :::* LISTEN 1746/java
tcp6 0 0 :::9090 :::* LISTEN 1746/java
tcp6 0 0 :::9091 :::* LISTEN 1746/java
tcp6 0 0 :::5222 :::* LISTEN 1746/java
tcp6 0 0 :::5223 :::* LISTEN 1746/java
tcp6 0 0 192.168.1.2:443 192.168.1.3:39432 ESTABLISHED 4988/apache2
tcp6 1 1 192.168.1.2:50662 207.223.240.70:80 LAST_ACK -
tcp6 0 0 127.0.0.1:53712 127.0.0.1:3306 ESTABLISHED 1746/java
tcp6 0 0 127.0.0.1:53709 127.0.0.1:3306 ESTABLISHED 1746/java
tcp6 0 0 192.168.1.2:445 192.168.1.3:60983 ESTABLISHED 5179/smbd
tcp6 0 0 192.168.1.2:445 192.168.1.3:60902 ESTABLISHED 5171/smbd
tcp6 0 0 127.0.0.1:53711 127.0.0.1:3306 ESTABLISHED 1746/java
tcp6 0 0 192.168.1.2:445 192.168.1.3:59980 ESTABLISHED 5005/smbd
tcp6 0 0 127.0.0.1:53708 127.0.0.1:3306 ESTABLISHED 1746/java
tcp6 0 0 192.168.1.2:443 192.168.1.3:39614 ESTABLISHED 4689/apache2
tcp6 1 1 192.168.1.2:59951 207.223.240.70:80 LAST_ACK -
tcp6 0 0 127.0.0.1:53710 127.0.0.1:3306 ESTABLISHED 1746/java
udp 0 0 192.168.1.2:53 0.0.0.0:* 1406/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 1406/named
udp 0 0 0.0.0.0:3130 0.0.0.0:* 1868/(squid)
udp 0 0 0.0.0.0:67 0.0.0.0:* 1534/dhcpd
udp 0 0 0.0.0.0:45388 0.0.0.0:* 1868/(squid)
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1492/avahi-daemon:
udp 0 0 0.0.0.0:55151 0.0.0.0:* 902/rpc.statd
udp 0 0 0.0.0.0:111 0.0.0.0:* 890/portmap
udp 0 0 0.0.0.0:54648 0.0.0.0:* 1492/avahi-daemon:
udp 0 0 192.168.1.255:137 0.0.0.0:* 1372/nmbd
udp 0 0 192.168.1.2:137 0.0.0.0:* 1372/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1372/nmbd
udp 0 0 192.168.1.255:138 0.0.0.0:* 1372/nmbd
udp 0 0 192.168.1.2:138 0.0.0.0:* 1372/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1372/nmbd
udp 0 0 0.0.0.0:654 0.0.0.0:* 902/rpc.statd
udp 0 0 0.0.0.0:10000 0.0.0.0:* 2007/perl
udp6 0 0 :::5353 :::* 1492/avahi-daemon:
udp6 0 0 :::55201 :::* 1492/avahi-daemon:
EDIT : Je viens de refaire la commande et ce truc a disparu.
Dernière modification par renaud07 (Le 29/03/2013, à 22:23)
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
#10 Le 29/03/2013, à 22:23
- tiramiseb
Re : Attaque pirate ?
Désolé je n'avais pas fait gaffe que c'était en "LAST_ACK" et non en "ESTABLISHED"...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#11 Le 29/03/2013, à 22:25
- renaud07
Re : Attaque pirate ?
Ça correspond à quoi LAST_ACK ?
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
#12 Le 29/03/2013, à 22:26
- tiramiseb
Re : Attaque pirate ?
C'est une connexion en cours de fermeture (en attente du dernier acquittement de la conversation) : le programme qui communiquait peut déjà s'être arrêté...
http://www.delafond.org/traducmanfr/man … .html#lbAM
Dernière modification par tiramiseb (Le 29/03/2013, à 22:29)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#13 Le 29/03/2013, à 22:29
- renaud07
Re : Attaque pirate ?
Je viens de penser que j'ai aussi installé openfire et vu que dans la liste du lien que j'ai donné y'a des trucs en rapport marqué c'est peut-être ça en fait. Fausse alerte alors.
Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits
Hors ligne
Pages : 1