Pages : 1
#1 Le 10/02/2008, à 04:25
- shensi
[RESOLU][Sécurité] Port 6667 ouvert sans raison !
Depuis bientà´t 2 moi sj'ai un serveur kimsufi ! Une ubuntu. Je m'amuse bien c'est chouette.
J'ai mis en place différents services (apache2, mysql, ftp, postfix...) protégés derrière un fail2ban!
Ce soir à ma grande surprise après avoir mis en place mon ftp en mode securiser
Je fais un nmap sur mon serveur et je vois ça:
Code:
Not shown: 1689 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd or WU-FTPD
22/tcp open ssh OpenSSH 4.6p1 Debian 5ubuntu0.1 (protocol 2.0)
25/tcp filtered smtp
53/tcp open domain
80/tcp open http Apache httpd
143/tcp open imap Courier Imapd (released 2005)
443/tcp open ssl/http Apache httpd
6667/tcp filtered irc
Service Info: OS: Linux
Qu'est ce dont que ce service (irc semble t'il) en mode filtered que je n'ai pas installé ?
Comment faire pour masquer ma distrib Debian 5ubuntu0.1 ?
Et quand je fais un netstat -aun
udp 0 0 0.0.0.0:32838 ...
Qui a l'air d'être associé à irc quand je regarde sur google ?
Ca me fait un peu fliper quand meme. Surtout quand depuis 2 jours j'ai déjà 5 ip korean qui se sont faites bannir (en 2 3 mouvements heureusement) ! Plus les continuelles tentatives bizarre sur mon serveur web ( les classiques badbots qui testent les répertoires...)
Merci d'avance.
Dernière modification par shensi (Le 10/02/2008, à 16:00)
Distrib: Ubuntu 9.04
Citation : Si chuck Norris te dit que ta mère est bonne... tu peux l'appeler Papa
Hors ligne
#2 Le 10/02/2008, à 08:16
- ismael-desktop
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
je suis désolé de t'apprendre que tu a un serveur IRC qui est installé sur ta machine ...
tu doit verifier dans ta liste de processus:
top
ensuite
kill -9 (le pid du serveur irc)
Tu tes fait avoir comme un bleu ... en vrai ta box est peut-etre déja hacker ... surtout si tu dit que tu connais pas l'irc !!!!
Hors ligne
#3 Le 10/02/2008, à 10:26
- Hoper
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
ca donne quoi un :
sudo lsof -i
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#4 Le 10/02/2008, à 15:07
- shensi
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
Voila ce qu'un lsof donne :
shensi@tekila:~$ sudo lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 10135 root 20u IPv4 3112390 UDP mondomaine.com:domain
named 10135 root 21u IPv4 3112391 TCP mondomaine.com:domain (LISTEN)
named 10135 root 22u IPv4 3112392 UDP localhost.localdomain:domain
named 10135 root 23u IPv4 3112393 TCP localhost.localdomain:domain (LISTEN)
named 10135 root 24u IPv4 3112394 UDP *:32838
sshd 10652 root 3u IPv4 8518791 TCP mondomaine.com:ssh->nbo79-1-82-244-136-208.fbx.proxad.net:44008 (ESTABLISHED)
sshd 10668 shensi 3u IPv4 8518791 TCP mondomaine.com:ssh->nbo79-1-82-244-136-208.fbx.proxad.net:44008 (ESTABLISHED)
apache2 15420 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 15420 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
mysqld 17160 mysql 14u IPv4 4384283 TCP localhost.localdomain:mysql (LISTEN)
apache2 23139 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 23139 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
apache2 23181 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 23181 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
apache2 23182 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 23182 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
couriertc 25185 root 3u IPv4 6708601 TCP *:imap2 (LISTEN)
vsftpd 25737 root 3u IPv4 8589380 TCP *:ftp (LISTEN)
master 25843 root 11u IPv4 7988437 TCP *:smtp (LISTEN)
apache2 26181 root 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 26181 root 4u IPv4 8464199 TCP *:https (LISTEN)
sshd 26534 root 3u IPv4 8591919 TCP *:62332 (LISTEN)
sshd 29718 root 3r IPv4 8718616 TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:2887 (ESTABLISHED)
sshd 29720 shensi 3u IPv4 8718616 TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:2887 (ESTABLISHED)
sshd 29869 root 3r IPv4 8719223 TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:45337 (ESTABLISHED)
sshd 29888 shensi 3u IPv4 8719223 TCP mondomaine.com:62332->nbo79-1-82-244-136-208.fbx.proxad.net:45337 (ESTABLISHED)
apache2 32749 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 32749 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
apache2 32750 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 32750 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
apache2 32751 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 32751 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
apache2 32758 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 32758 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
apache2 32759 www-data 3u IPv4 8464197 TCP *:www (LISTEN)
apache2 32759 www-data 4u IPv4 8464199 TCP *:https (LISTEN)
Distrib: Ubuntu 9.04
Citation : Si chuck Norris te dit que ta mère est bonne... tu peux l'appeler Papa
Hors ligne
#5 Le 10/02/2008, à 15:12
- shensi
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
J'ai laissé ce topic sur le forum des kimsufi ...
Distrib: Ubuntu 9.04
Citation : Si chuck Norris te dit que ta mère est bonne... tu peux l'appeler Papa
Hors ligne
#6 Le 10/02/2008, à 15:45
- ismael-desktop
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
bon finalement je croit que tu a trouver ta reponse sur le forum kimsufi ... bizarre qu'il ai mit un filtre sur le port IRC par default ... en plus cest tellement pas pas fiable IRC !!!
Hors ligne
#7 Le 10/02/2008, à 15:54
- shensi
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
En même temps, avec toutes les nouvelles lois qui passe en ce moment, ils se protègent !
Y a plus de peur que de mal, mais il vaut mieux s'affoler quand meme.
Si j'ai bien compris, ce sont les routeurs et machines de chez ovh qui filtrent tout ça...
Donc finalement, le bleu n'est pas si bleu que ça !!
Merci pour votre réactivité en tout cas.
Distrib: Ubuntu 9.04
Citation : Si chuck Norris te dit que ta mère est bonne... tu peux l'appeler Papa
Hors ligne
#8 Le 10/02/2008, à 16:13
- RaphAstronome
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
A mon avis tu as intérêt a vérifier à fond ta config, déjà pour savoir comment ce serveur à été installé. Après vérifie bien que rien à été changé (y compris tes scripts), qu'il n'y a pas de backdoor, etc ...
Change aussi tout les codes notamment tous les comptes accessibles par SSH.
RaphAstronome
https://www.astro5000.com/
Hors ligne
#9 Le 10/02/2008, à 16:23
- shensi
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
Attta le fait que un nmap sur mon serveur qui affiche cette ligne là
6667/tcp filtered irc
Veut dire que le port est filtré mais ca veut pas dire que c'est ma machine qui le filtre?
Ovh filtre ce port parce qu'ils veulent pas que les serveurs kimsufi hébergent des serveurs irc ? isn't it ?
déjà pour savoir comment ce serveur à été installé
Mais visiblement ce service n'a jamais été installé? Vu que c'est OVH qui filtre pour moi le port 6667? isn't it ?
Mais je vais quand meme changer mes password et vérifier mes scripts...
Un outils de type rkhunter qui fait une empreinte md5 est suffisante ? il me dira quels fichiers ont été modifié? right ?
Merci d'avance
Distrib: Ubuntu 9.04
Citation : Si chuck Norris te dit que ta mère est bonne... tu peux l'appeler Papa
Hors ligne
#10 Le 10/02/2008, à 16:28
- RaphAstronome
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
Un outils de type rkhunter qui fait une empreinte md5 est suffisante ? il me dira quels fichiers ont été modifié? right ?
Oui mais uniquement si tu l'a initialisé avant sinon ça sert à rien.
De plus si tu est bien hacké il à pu modifier le script rkhunter ou les signatures.
Sinon que dit " sudo netstat -taupe | grep LISTEN " ?
Il y a toujours le 6667 dans le nmap ?
RaphAstronome
https://www.astro5000.com/
Hors ligne
#11 Le 10/02/2008, à 16:34
- shensi
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
Non il n'y est plus...
Je crois que je me suis emporté quand meme ! Hier nmap me disait que le port 6667 était ouvert...
Mais sur mon serveur je me souviens pas avoir eu ça ou du moins j'ai pas été clair..
Mon premier message (le nmap) avec la liste de mes services a été fait via un pc en local mais chez moi !! Pas en local sur mon kimsufi.... D'ou la confusion et l'affolement...
Donc non je crois qu'il n'y a jamais eu de services irc sur mon serveur kimsufi
Mais OVH bloquent et filtrent ces ports donc c bon... i think
Dernière modification par shensi (Le 10/02/2008, à 16:35)
Distrib: Ubuntu 9.04
Citation : Si chuck Norris te dit que ta mère est bonne... tu peux l'appeler Papa
Hors ligne
#12 Le 21/11/2008, à 00:36
- be1
Re : [RESOLU][Sécurité] Port 6667 ouvert sans raison !
je suis désolé de t'apprendre que tu a un serveur IRC qui est installé sur ta machine ...
pas du tout: une simple règle iptable suffit à créer cet effet:
iptable -A INPUT -p tcp --dport 6667 -j DROP
tu doit verifier dans ta liste de processus:
top
top ne donne pas la liste de tous les processus. quelque chose de meilleur sera:
ps auxwww | less
ensuite
kill -9 (le pid du serveur irc)
et comment connaître le pid de ce prog avec top ou ps ? pas moyen, ce prog peut voir n'importe-quel nom; on ne peut l'identifier que par le fait qu'il écoute le port 6667/tcp. il faut donc passer par netstat ou lsof.
Tu tes fait avoir comme un bleu ... en vrai ta box est peut-etre déja hacker ... surtout si tu dit que tu connais pas l'irc !!!!
pas tant que ça. En fait je pense qu'il n'y a aucune inquiétude après avoir vérifié, en super-utilisateur (root), que:
netstat -tpln | grep 6667
ne donne rien: cela signifie qu'il n'y a pas de prog qui écoute le port irc.
ensuite, pour savoir qui filtre, si:
iptables -L | grep dport:6667 && iptables -L | grep dport:ircd
ne donnent rien, cela signifie que soit ton FAI filtre via ta box, soit une passerelle de kimsuffi filtre, et que c'est prévu dans le contrat.
Pages : 1