Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 07/09/2014, à 19:51

Sky3RN

[RÉSOLU] Bande passante taxée, par qui / quoi ?

Bonjour,

Depuis déjà une semaine j'ai un énorme soucis de bande passante, qui me coupe ma ligne téléphonique ainsi qu'Internet visiblement..
Après plusieurs tests, il s'avère que le problème vient de mon ordi'. oÔ Le problème semble survenir lorsque mon Ubuntu est lancé, j'insiste sur le fait que je n'ai jamais eu ce problème avant que ça le fait depuis Dimanche dernier. Étant parti en week-end ces deux derniers jours j'ai éteint mon ordi' et ma famille m'a dit que tout fonctionnait correctement. Je reviens, j'allume mon PC, le problème est de nouveau là. J'ai testé aussi en rebootant sous Windows (dual boot, je me serre de Windows dans de rares cas) et le problème disparait apparemment. Visiblement ça arrive quand mon Linux est allumé..

J'utilise depuis quelques années bwm-ng pour surveiller mon débit, et lorsque les coupures d'Internet + ligne téléphonique surviennent je vois que ma bande passante est taxée à mort.
SCREENSHOT :
mini_840021Capturetilda.png

En temps normal le Tx ne va pas plus haut que 70 Kb/s.

Je viens d'installer iftop et il semblerait que ce sont les IP 110.50.230.x et 110.50.231.x qui pompent toute ma connexion.


Quelqu'un aurait-il une idée d'où cela peut-être provenir et éventuellement une solution ? Ou éventuellement si quelqu'un sait comment bloquer / bannir cette IP, histoire de voir si ça règle le problème..

Dernière modification par Sky3RN (Le 10/09/2014, à 00:41)

Hors ligne

#2 Le 07/09/2014, à 20:39

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Je suis actuellement en train de faire un scan avec clamscan et je viens de voir passer cette ligne :

/tmp/get/pro: Unix.Trojan.Elknot FOUND

Voilà qui me semble suspect.. Possible que ça vienne de là ? Si c'est le cas est-ce qu'un simple rm -rf /tmp/get/pro suffirait ?

Hors ligne

#3 Le 07/09/2014, à 20:44

Haleth

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Supprime le, regarde dans ton crontab, ou réinstalle ta machine.


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#4 Le 07/09/2014, à 21:08

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Je n'arrive pas à supprimer /tmp/get/pro, j'ai pas trop envie de tout formater. Je cherche à résoudre mon problème, pas à le contourner. wink

skyern@skyern-desktop:/tmp$ sudo rm -rf /tmp/get/pro 
rm: impossible de supprimer «/tmp/get/pro»: Opération non permise

Hors ligne

#5 Le 07/09/2014, à 21:24

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Au passage j'ai installé chkrootkit et en faisant un scan je vois ça :

Checking `lkm'...                                           You have     2 process hidden for readdir command
You have     2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Mais d'après Google il semblerait que celui-ci soit normal.. Je reste bloqué sur mon /tmp/get/pro qui refuse de se laisser supprimer.

Dernière modification par Sky3RN (Le 07/09/2014, à 21:32)

Hors ligne

#6 Le 07/09/2014, à 22:19

Haleth

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Tu joues au chat et à la souris

Si tu ne veux pas réinstaller, tu ne seras jamais sur d'avoir résolu ton problème.


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#7 Le 07/09/2014, à 22:47

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Si ça se trouve en réinstallant le problème sera toujours là..
Ma priorité c'est de comprendre d'où ça vient et régler le problème, pas le contourner..

Hors ligne

#8 Le 08/09/2014, à 07:03

tiramiseb

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Salut,

les IP 110.50.230.x et 110.50.231.x

Avec un "x" ça ne nous aide pas des masses...

Je n'arrive pas à supprimer /tmp/get/pro

Que donne la commande suivante ?

ls -lh /tmp/get/pro

Si ça se trouve en réinstallant le problème sera toujours là..

Je ne pense pas.

Ma priorité c'est de comprendre d'où ça vient et régler le problème

Le seul moyen de « régler le problème » à coup sûr lorsqu'une machine est vérolée est de la réinstaller.

PS : pourquoi le terme « taxée à mort » ? Ça vient du "Tx" des paquets transmis ? Et si c'était en réception, ce serait « rixé » à mort ? tongue

Dernière modification par tiramiseb (Le 08/09/2014, à 07:07)

Hors ligne

#9 Le 08/09/2014, à 11:05

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

J'ai mis un "x" parce que ça peut être n'importe quoi après, de 0 à 255.

skyern@skyern-desktop:~$ ls -lh /tmp/get/pro
-rwxrwxrwx 1 root root 1,3M 2014-04-20 16:46 /tmp/get/pro

J'ai utilisé le terme "taxé" parce que c'est comme ça que je dis dans mon langage de tous les jours, comme j'aurais pu dire "pompée". tongue Sinon oui, ça vient du "Tx" des paquets transmis. wink

Hors ligne

#10 Le 08/09/2014, à 11:27

pingouinux

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Bonjour,
À tout hasard, que donne cette commande ?

lsattr /tmp/get/pro

Hors ligne

#11 Le 08/09/2014, à 11:32

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Bah en fait je n'arrive ni à utiliser lsattr, ni chattr. Il me dit d'installer e2fsprogs sauf qu'il est déjà installé..
Donc là je tente en l'installant manuellement à partir d'un .tar.gz en espérant que ces deux commandes fonctionnent.

skyern@skyern-desktop:~$ lsattr /tmp/get/pro
Le programme « lsattr » n'est pas installé.  Vous pouvez l'installer en saisissant :
sudo apt-get install e2fsprogs
skyern@skyern-desktop:~$ 

Hors ligne

#12 Le 08/09/2014, à 14:17

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Je bataille à compiler e2fsprogs.. Ça se finit comme ça :

make[1]: entrant dans le répertoire « /home/skyern/e2fsprogs-1.41.11/build/doc »
	TEXI2DVI libext2fs.dvi
You don't have a working TeX binary (tex) installed anywhere in
your PATH, and texi2dvi cannot proceed without one.  If you want to use
this script, you'll need to install TeX (if you don't have it) or change
your PATH or TEX environment variable (if you do).  See the --help
output for more details.

For information about obtaining TeX, please see http://tug.org/texlive,
or do a web search for TeX and your operating system or distro.
make[1]: [libext2fs.dvi] Erreur 1 (ignorée)
	MKINSTALLDIRS /usr/share/info
	INSTALL_DATA /usr/share/info/libext2fs.info
	GZIP /usr/share/info/libext2fs.info*
make[1]: quittant le répertoire « /home/skyern/e2fsprogs-1.41.11/build/doc »
if test ! -d e2fsck && test ! -d debugfs && test ! -d misc && test ! -d ext2ed ; then make install-libs ; fi
root@skyern-desktop:/home/skyern/e2fsprogs-1.41.11/build#

EDIT :
Du coup je me suis rendu compte qu'il me manquait e2fslibs-dev pour pouvoir utiliser la commande chattr, j'ai pu supprimer /tmp/get/pro grâce à ça. C'est une bonne chose de fait. Maintenant je suis toujours à la recherche de mon problème d'origine : Qu'est-ce qui pompe autant ma bande passante sur mon Ubuntu et qui m'empêche donc d'utiliser Internet ?

Dernière modification par Sky3RN (Le 08/09/2014, à 14:24)

Hors ligne

#13 Le 08/09/2014, à 14:23

Haleth

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

aptitude install e2fsprogs

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#14 Le 08/09/2014, à 14:41

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Haleth a écrit :
aptitude install e2fsprogs

Déjà réglé ce problème en installant e2fslibs-dev mais merci. smile

Sky3RN a écrit :

Maintenant je suis toujours à la recherche de mon problème d'origine : Qu'est-ce qui pompe autant ma bande passante sur mon Ubuntu et qui m'empêche donc d'utiliser Internet ?

Hors ligne

#15 Le 08/09/2014, à 20:52

tiramiseb

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Je bataille à compiler e2fsprogs

Le système te montre la commande à utiliser pour installer le paquet e2fsprogs à partir des dépôts d'Ubuntu et toi tu vas chercher à le compiler ? Huh ?

Maintenant je suis toujours à la recherche de mon problème d'origine : Qu'est-ce qui pompe autant ma bande passante sur mon Ubuntu et qui m'empêche donc d'utiliser Internet ?

Eh bien maintenant que tu as installé e2fsprogs, donne le retour de la commande demandée par pingouinux...

Hors ligne

#16 Le 08/09/2014, à 21:18

Zakhar

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

tiramiseb a écrit :

Salut,

les IP 110.50.230.x et 110.50.231.x

Avec un "x" ça ne nous aide pas des masses...

Si, si, car effectivement on se fiche du .x vu que la plage allouée en l'occurrence va de 110.50.224.0 à 110.50.239.255, par conséquent les IP en 110.50.230.X et 231.x sont dedans.

Vu le truc louche immatriculé aux Philippines, cela sent effectivement très fort le troyan ou autre saleté.

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '110.50.224.0 - 110.50.239.255'

inetnum:        110.50.224.0 - 110.50.239.255
netname:        GAMEBUILDERS
descr:          Application Service Provider
country:        PH
admin-c:        BTN1-AP
tech-c:         BTN1-AP
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-PH-BAYVIEWTECH-INC
mnt-routes:     MAINT-PH-BAYVIEWTECH-INC
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
mnt-irt:        IRT-GAMEBUILDERS-PH
changed:        hm-changed@apnic.net 20090326
changed:        hm-changed@apnic.net 20131021
source:         APNIC

irt:            IRT-GAMEBUILDERS-PH
address:        Bayview Technologies, Inc
address:        43/F Yuchengco Tower, RCBC Plaza, 6819 Ayala Avenue
address:        Makati City
address:        1200 Philippines
e-mail:         noc@bayviewtechnology.com
abuse-mailbox:  noc@bayviewtechnology.com
admin-c:        BTN1-AP
tech-c:         BTN1-AP
auth:           # Filtered
mnt-by:         MAINT-PH-BAYVIEWTECH-INC
changed:        noc@bayviewtechnology.com 20101213
changed:        hm-changed@apnic.net 20131021
source:         APNIC

role:           Bayview Technology NOC
address:        Bayview Technologies, Inc
address:        43/F Yuchengco Tower, RCBC Plaza, 6819 Ayala Avenue
address:        Makati City 1200
country:        PH
phone:          +63 2 887-2525
fax-no:         +63 2 844-3098
e-mail:         noc@bayviewtechnology.com
admin-c:        BTN1-AP
tech-c:         BTN1-AP
nic-hdl:        BTN1-AP
notify:         noc@bayviewtechnology.com
mnt-by:         MAINT-PH-BAYVIEWTECH-INC
changed:        noc@bayviewtechnology.com 20131021
source:         APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS2)

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#17 Le 08/09/2014, à 21:28

Zakhar

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

En attendant de trouver je te suggère de bloquer l'intrus avec ces commandes :

sudo iptables -A INPUT -s 110.50.224.0/20 -j DROP
sudo iptables -A OUTPUT -d 110.50.224.0/20 -j DROP

(le mieux étant de les mettre dans l'init du PC)

Ca bloquera tout communication entrante et sortante vers la plage en question.

Une autre hypothèse moins "méchante"... vu le nom enregistré à l'APNIC, c'est que ça pourrait faire penser à un jeu en ligne comme WoW qui pratique le téléchargement en torrent et ton PC serait en train de "servir" les petits copains. Tu pratiques le jeu vidéo sur ce PC, ou plus largement les torrents ou autre P2P du genre ?

L'autre conseil, pour observer ce qu'il se passe sur ta machine et pouvoir tout supprimer/renommer est de démarrer sur une clé USB contenant un système live. Bien sûr, en l'occurrence le machin sur /tmp est créé à toutes les fois par ton truc bizarre, et donc il ne sera pas là lorsque tu démarrera sur la clé... mais ça permet d'être sûr de pouvoir tout manipuler sans blocage.

Dernière modification par Zakhar (Le 08/09/2014, à 21:37)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#18 Le 08/09/2014, à 21:50

Haleth

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Si, si, car effectivement on se fiche du .x vu que la plage allouée en l'occurrence va de 110.50.224.0 à 110.50.239.255, par conséquent les IP en 110.50.230.X et 231.x sont dedans.

Et comment tu sais que la plage allouée va de 110.50.224.0 à 110.50.239.255 ?
Regarder dans le RIPE ne suffit pas : si mon ADSL est compromis, cela ne signifie pas que tout les abonnés ADSL chez mon "FAI" sont compromis.


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#19 Le 08/09/2014, à 21:56

Zakhar

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Haleth a écrit :

Si, si, car effectivement on se fiche du .x vu que la plage allouée en l'occurrence va de 110.50.224.0 à 110.50.239.255, par conséquent les IP en 110.50.230.X et 231.x sont dedans.

Et comment tu sais que la plage allouée va de 110.50.224.0 à 110.50.239.255 ?
Regarder dans le RIPE ne suffit pas : si mon ADSL est compromis, cela ne signifie pas que tout les abonnés ADSL chez mon "FAI" sont compromis.

C'est certain que pour la plage retournée, il peut s'agir d'un revendeur, d'un FAI, etc... Vu l'immatriculation aux Philippines... humm, FAI j'ai un sérieux doute.

En tout cas c'est sûr, l'op peut effectivement réduire le blocage aux seul 110.50.230.x et 231.x en adaptant les IP à bloquer. Mais "pour l'instant" il n'a constaté que ces deux là (rien ne prouve qu'il n'y en a pas d'autres), à mon sens ça ne mange pas de pain de bloquer toute la plage "louche", et la réduire ensuite si ça bloque d'autres communications importantes, du reste ça donnera peut-être une piste.

... en tout cas, moi, c'est ainsi que je procéderais... mais bon, ce n'est pas ma machine qui est infectée ! neutral

Dernière modification par Zakhar (Le 08/09/2014, à 22:00)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#20 Le 09/09/2014, à 02:29

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

J'ai un peu de nouveau concernant mon problème, il semblerait que mon ordi' soit infecté par le virus / botnet « Bill Gates ». Maintenant mon but c'est de réussir à dégager ce botnet.. smile

Concernant vos remarques, non je ne joue pas aux jeux vidéos et je n'utilise plus de P2P depuis Janvier. Ensuite, pour e2fsprogs j'ai déjà auto-répondu dans un de mes messages précédents.

Hors ligne

#21 Le 09/09/2014, à 08:32

Zakhar

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

https://github.com/ValdikSS/billgates-botnet-tracker a écrit :

How can I get this botnet?

That's pretty easy, just set your root password to "1" or something and make sure you have openssh running. You'll definitely get it in some time. It seems like the installation process is performed by an individual and not automatically.

Tu fais tourner un OpenSSH avec un mot de passe trivial ? tongue

Bon, s'il commence à y avoir des virus/trojan pour Linux c'est à la fois inquiétant... et significatif du succès grandissant. Les articles au sujet de ce botnet parlent du Cloud Amazon -AWS- qui rencontre effectivement un certain succès (dans le milieu pro, pas pour les particuliers).


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#22 Le 09/09/2014, à 10:25

Haleth

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

C'est un trojan.
Autrement dit, c'est un logiciel que l'utilisateur a mis sur la machine.

Il n'y a rien à faire contre cela.


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#23 Le 09/09/2014, à 18:03

tiramiseb

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Autrement dit, c'est un logiciel que l'utilisateur a mis sur la machine.

Ou alors l'utilisateur a utilisé un mot de passe trop simple, facilement cassable. Ce qui revient à peu près au même.

il semblerait que mon ordi' soit infecté par le virus / botnet « Bill Gates ». Maintenant mon but c'est de réussir à dégager ce botnet..

Maintenant que l'ordinateur est infecté, même si tu trouves où il est et si tu arrives à le supprimer, tu n'as aucune certitude qu'il n'y a pas autre chose. Car s'il y a un troyen comme ça et que ce n'est pas toi qui l'as mis en place, c'est que quelqu'un a réussi à s'infiltrer sur ton ordinateur : on ne sait pas ce qu'il a pu faire d'autre...

D'où la seule solution viable : la réinstallation.

Hors ligne

#24 Le 09/09/2014, à 20:03

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Je vois..
J'ai fait une mise à niveau (avec quelques problèmes, listés ici : http://forum.ubuntu-fr.org/viewtopic.php?id=1672111) et le botnet est toujours là.
Quand tu parles de réinstallation tu entends mettre un LiveCD (ou LiveUSB) puis installer Ubuntu ? Il y a moyen de le réinstaller en gardant mes fichiers et mes applications ? J'ai pas trop envie de tout perdre et je n'ai aucun support pour sauvegarder mon /home et autres..

Hors ligne

#25 Le 09/09/2014, à 23:26

Sky3RN

Re : [RÉSOLU] Bande passante taxée, par qui / quoi ?

Je me demandais si c'était possible d'interdire la création d'un certain fichier dans un dossier ? Par exemple, ce botnet fais des fichiers gates.lock et moni.lock (et autres *.lock) dans mon /tmp, est-ce qu'il y a moyen de dire à mon OS "Non, tu interdis les *.lock !" ?

Par ailleurs, je crois que j'ai localisé le problème (grâce à cette page et d'autres : http://blogg.openend.se/2014/3/2/malware-under-linux) :

skyern@skyern-desktop:~$ cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed
*/55 * * * * root /bin/reset.sh
*/55 * * * * root /bin/kill.sh
*/1 * * * * root /bin/check.sh
*/20 * * * * root /bin/get.sh

MA SOLUTION :
Éditer /etc/crontab pour dégager ces lignes ci-dessus, suivi d'un ps aux | grep pro pour kill tout ce qui est /boot/pro et /boot/proh, puis :

root@skyern-desktop:/home/skyern# chattr -i /bin/get.sh 
root@skyern-desktop:/home/skyern# rm -rf /bin/get.sh 
root@skyern-desktop:/home/skyern# chattr -i /bin/kill.sh 
root@skyern-desktop:/home/skyern# rm -rf /bin/kill.sh 
root@skyern-desktop:/home/skyern# chattr -i /bin/reset.sh 
root@skyern-desktop:/home/skyern# rm -rf /bin/reset.sh 
root@skyern-desktop:/home/skyern# chattr -i /bin/check.sh 
root@skyern-desktop:/home/skyern# rm -rf /bin/check.sh 
root@skyern-desktop:/home/skyern# rm -rf /tmp/*.lock

À tester sur le long terme pour voir si ça se reproduit. Je vous tiens au jus. wink

Dernière modification par Sky3RN (Le 09/09/2014, à 23:54)

Hors ligne