[RESOLU][Sécurité] Port 6667 ouvert sans raison !

shensi · Le 10/02/2008, à 04:25

Depuis bientà´t 2 moi sj'ai un serveur kimsufi ! Une ubuntu. Je m'amuse bien c'est chouette.

J'ai mis en place différents services (apache2, mysql, ftp, postfix...) protégés derrière un fail2ban!

Ce soir à ma grande surprise après avoir mis en place mon ftp en mode securiser
Je fais un nmap sur mon serveur et je vois ça:

Code:

Not shown: 1689 closed ports
PORT     STATE    SERVICE  VERSION
21/tcp   open     ftp      vsftpd or WU-FTPD
22/tcp   open     ssh      OpenSSH 4.6p1 Debian 5ubuntu0.1 (protocol 2.0)
25/tcp   filtered smtp
53/tcp   open     domain
80/tcp   open     http     Apache httpd
143/tcp  open     imap     Courier Imapd (released 2005)
443/tcp  open     ssl/http Apache httpd
6667/tcp filtered irc
Service Info: OS: Linux

Qu'est ce dont que ce service (irc semble t'il) en mode filtered que je n'ai pas installé ?
Comment faire pour masquer ma distrib Debian 5ubuntu0.1 ?

Et quand je fais un netstat -aun

udp        0      0 0.0.0.0:32838 ...

Qui a l'air d'être associé à irc quand je regarde sur google ?

Ca me fait un peu fliper quand meme. Surtout quand depuis 2 jours j'ai déjà 5 ip korean qui se sont faites bannir (en 2 3 mouvements heureusement) ! Plus les continuelles tentatives bizarre sur mon serveur web ( les classiques badbots qui testent les répertoires...)

Merci d'avance.

Dernière modification par shensi (Le 10/02/2008, à 16:00)

ismael-desktop · Le 10/02/2008, à 08:16

je suis désolé de t'apprendre que tu a un serveur IRC qui est installé sur ta machine ...
tu doit verifier dans ta liste de processus:

top

ensuite

kill -9 (le pid du serveur irc)

Tu tes fait avoir comme un bleu ... en vrai ta box est peut-etre déja hacker ... surtout si tu dit que tu connais pas l'irc !!!!

Hoper · Le 10/02/2008, à 10:26

ca donne quoi un :
sudo lsof -i

shensi · Le 10/02/2008, à 15:07

Voila ce qu'un lsof donne :

shensi@tekila:~$ sudo lsof -i
COMMAND     PID     USER   FD   TYPE  DEVICE SIZE NODE NAME
named     10135     root   20u  IPv4 3112390       UDP mondomaine.com:domain
named     10135     root   21u  IPv4 3112391       TCP mondomaine.com:domain (LISTEN)
named     10135     root   22u  IPv4 3112392       UDP localhost.localdomain:domain
named     10135     root   23u  IPv4 3112393       TCP localhost.localdomain:domain (LISTEN)
named     10135     root   24u  IPv4 3112394       UDP *:32838
sshd      10652     root    3u  IPv4 8518791       TCP mondomaine.com:ssh->nbo79-1-82-244-136-208.fbx.proxad.net:44008 (ESTABLISHED)
sshd      10668   shensi    3u  IPv4 8518791       TCP mondomaine.com:ssh->nbo79-1-82-244-136-208.fbx.proxad.net:44008 (ESTABLISHED)
apache2   15420 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   15420 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
mysqld    17160    mysql   14u  IPv4 4384283       TCP localhost.localdomain:mysql (LISTEN)
apache2   23139 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   23139 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
apache2   23181 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   23181 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
apache2   23182 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   23182 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
couriertc 25185     root    3u  IPv4 6708601       TCP *:imap2 (LISTEN)
vsftpd    25737     root    3u  IPv4 8589380       TCP *:ftp (LISTEN)
master    25843     root   11u  IPv4 7988437       TCP *:smtp (LISTEN)
apache2   26181     root    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   26181     root    4u  IPv4 8464199       TCP *:https (LISTEN)
sshd      26534     root    3u  IPv4 8591919       TCP *:62332 (LISTEN)
sshd      29718     root    3r  IPv4 8718616       TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:2887 (ESTABLISHED)
sshd      29720   shensi    3u  IPv4 8718616       TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:2887 (ESTABLISHED)
sshd      29869     root    3r  IPv4 8719223       TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:45337 (ESTABLISHED)
sshd      29888   shensi    3u  IPv4 8719223       TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:45337 (ESTABLISHED)
apache2   32749 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   32749 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
apache2   32750 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   32750 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
apache2   32751 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   32751 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
apache2   32758 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   32758 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)
apache2   32759 www-data    3u  IPv4 8464197       TCP *:www (LISTEN)
apache2   32759 www-data    4u  IPv4 8464199       TCP *:https (LISTEN)

shensi · Le 10/02/2008, à 15:12

J'ai laissé ce topic sur le forum des kimsufi ...

http://forum.kimsufi.com/showthread.php?t=3658

ismael-desktop · Le 10/02/2008, à 15:45

bon finalement je croit que tu a trouver ta reponse sur le forum kimsufi ... bizarre qu'il ai mit un filtre sur le port IRC par default ... en plus cest tellement pas pas fiable IRC !!!

shensi · Le 10/02/2008, à 15:54

En même temps, avec toutes les nouvelles lois qui passe en ce moment, ils se protègent !

Y a plus de peur que de mal, mais il vaut mieux s'affoler quand meme.

Si j'ai bien compris, ce sont les routeurs et machines de chez ovh qui filtrent tout ça...

Donc finalement, le bleu n'est pas si bleu que ça !!

Merci pour votre réactivité en tout cas.

RaphAstronome · Le 10/02/2008, à 16:13

A mon avis tu as intérêt a vérifier à fond ta config, déjà pour savoir comment ce serveur à été installé. Après vérifie bien que rien à été changé (y compris tes scripts), qu'il n'y a pas de backdoor, etc ...
Change aussi tout les codes notamment tous les comptes accessibles par SSH.

shensi · Le 10/02/2008, à 16:23

Attta le fait que un nmap sur mon serveur qui affiche cette ligne là

6667/tcp filtered irc

Veut dire que le port est filtré mais ca veut pas dire que c'est ma machine qui le filtre?

Ovh filtre ce port parce qu'ils veulent pas que les serveurs kimsufi hébergent des serveurs irc ? isn't it ?

déjà pour savoir comment ce serveur à été installé

Mais visiblement ce service n'a jamais été installé? Vu que c'est OVH qui filtre pour moi le port 6667? isn't it ?

Mais je vais quand meme changer mes password et vérifier mes scripts...

Un outils de type rkhunter qui fait une empreinte md5 est suffisante ? il me dira quels fichiers ont été modifié? right ?

Merci d'avance

RaphAstronome · Le 10/02/2008, à 16:28

Un outils de type rkhunter qui fait une empreinte md5 est suffisante ? il me dira quels fichiers ont été modifié? right ?

Oui mais uniquement si tu l'a initialisé avant sinon ça sert à rien.
De plus si tu est bien hacké il à pu modifier le script rkhunter ou les signatures.

Sinon que dit " sudo netstat -taupe | grep LISTEN " ?
Il y a toujours le 6667 dans le nmap ?

shensi · Le 10/02/2008, à 16:34

Non il n'y est plus...

Je crois que je me suis emporté quand meme ! Hier nmap me disait que le port 6667 était ouvert...
Mais sur mon serveur je me souviens pas avoir eu ça ou du moins j'ai pas été clair..

Mon premier message (le nmap) avec la liste de mes services a été fait via un pc en local mais chez moi !! Pas en local sur mon kimsufi.... D'ou la confusion et l'affolement...

Donc non je crois qu'il n'y a jamais eu de services irc sur mon serveur kimsufi

Mais OVH bloquent et filtrent ces ports donc c bon... i think

Dernière modification par shensi (Le 10/02/2008, à 16:35)

be1 · Le 21/11/2008, à 00:36

ismael-desktop a écrit :

je suis désolé de t'apprendre que tu a un serveur IRC qui est installé sur ta machine ...

pas du tout: une simple règle iptable suffit à créer cet effet:

iptable -A INPUT -p tcp --dport 6667 -j DROP

tu doit verifier dans ta liste de processus:
top

top ne donne pas la liste de tous les processus. quelque chose de meilleur sera:

ps auxwww | less

ensuite
kill -9 (le pid du serveur irc)

et comment connaître le pid de ce prog avec top ou ps ? pas moyen, ce prog peut voir n'importe-quel nom; on ne peut l'identifier que par le fait qu'il écoute le port 6667/tcp. il faut donc passer par netstat ou lsof.

Tu tes fait avoir comme un bleu ... en vrai ta box est peut-etre déja hacker ... surtout si tu dit que tu connais pas l'irc !!!!

pas tant que ça. En fait je pense qu'il n'y a aucune inquiétude après avoir vérifié, en super-utilisateur (root), que:

netstat -tpln | grep 6667

ne donne rien: cela signifie qu'il n'y a pas de prog qui écoute le port irc.
ensuite, pour savoir qui filtre, si:

iptables -L | grep dport:6667 && iptables -L | grep dport:ircd

ne donnent rien, cela signifie que soit ton FAI filtre via ta box, soit une passerelle de kimsuffi filtre, et que c'est prévu dans le contrat.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/02/2008, à 04:25

[RESOLU][Sécurité] Port 6667 ouvert sans raison !

#2 Le 10/02/2008, à 08:16

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#3 Le 10/02/2008, à 10:26

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#4 Le 10/02/2008, à 15:07

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#5 Le 10/02/2008, à 15:12

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#6 Le 10/02/2008, à 15:45

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#7 Le 10/02/2008, à 15:54

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#8 Le 10/02/2008, à 16:13

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#9 Le 10/02/2008, à 16:23

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#10 Le 10/02/2008, à 16:28

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#11 Le 10/02/2008, à 16:34

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

#12 Le 21/11/2008, à 00:36

Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !

Pied de page des forums