Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 20/10/2009, à 08:25

gwado

[résolu]Piratage ou bug ?

Yo,

Je me suis acheté un Nettop Wind MSI il y a peu sur lequel j'ai installé Karmic afin de m'en servir comme serveur@home (mt-daapd, ftp, ssh, vnc et tout le tralala).
Je dirige tout ça depuis un portable.

Cette nuit, à 2h24 très exactement, s'est lancé Totem, "tout seul", depuis mon serveur, alors que je dormais.
J'ai ainsi pu entendre une des musiques que j'avais écouté dans la journée. Ça a du faire plaisir à mes voisins, mes enceintes de salon avaient un volume plutôt élevé.

Bref, je ne sais pas d'où ça peut venir. Ça m'étonne, c'est la première fois.
Est-ce qu'il est possible que ce soit du piratage, prise de contrôle de mon serveur ?
Ou est-ce simplement un bug "bizarre" ?

en sachant que je n'ai pas particulièrement pris le temps de sécuriser tout ça puisque je découvre.

Dernière modification par gwado (Le 20/10/2009, à 13:10)

Hors ligne

#2 Le 20/10/2009, à 09:25

truestory

Re : [résolu]Piratage ou bug ?

A mon avis c'est pas du piratage, sans doute un vieux bug lié au serveur de son, qui devait bloquer le lancement de totem. Le programme bloquant a du se débloquer à 2h24 ce qui a permis à une instance de totem que tu avait précédement lancé sans succés de démarrer.

Sinon regarde à tout hasard dans /var/log/auth.log si qqun s'est loggé.

Hors ligne

#3 Le 20/10/2009, à 11:05

gwado

Re : [résolu]Piratage ou bug ?

J'ai plein de trucs du genre :
Oct 20 01:20:16 SERVER sshd[8625]: Failed password for root from 62.99.163.91 port 59702 ssh2

http://whatismyipaddress.com/staticpages/index.php/ip-details?ip=62.99.163.91

Tous les 2/3 secondes, toujours avec la même ip (qui provient de Salzburg) mais avec le port qui change. Ça indique également qu'il y a une tentative de connexion mais avec le mauvais mot de passe.
D'autres infos qui disent que... il y a eu tentative (?) d'intrusion.
Comment savoir si l'intrusion a eu lieu ou s'il s'agit juste de tentatives infructueuses ?

En regardant quelques heures avant, j'ai des attaques également mais depuis Nairobi (Kenya).
J'ai cherché un peu sur le net, il parait que c'est courant ce genre d'attaques.

Faut j'utilise fail2ban pour ces ip ?

Sinon, tout ça m'ennuie un peu tout ça, est-ce que ces attaques peuvent faire ramer mon pc ou pas (parce qu'il rame alors que je ne lui demande pas grand chose et que la ram est très loin d'être utilisée en entier) ?



Merci ! smile)

Hors ligne

#4 Le 20/10/2009, à 11:21

lsam

Re : [résolu]Piratage ou bug ?

ça peut faire ramer ton pc, surtout les attaques de type DOS (Deny of service) dont le but est de faire planter ton serveur...
Installe fail2ban, c'est assez facile à paramétrer avec la doc, et tu es quand même assez tranquille vis-à-vis des tentatives de connexions.
Je te conseille aussi de changer les ports habituels de tes serveurs ssh, ftp, etc.

Hors ligne

#5 Le 20/10/2009, à 11:39

Hoper

Re : [résolu]Piratage ou bug ?

Comment savoir si l'intrusion a eu lieu ou s'il s'agit juste de tentatives infructueuses ?

Ce sont simplement des tentatives infructueuse. Si quelqu'un avait réussit à se connecter ca fait longtemps qu'il loguerait plus rien.

Faut j'utilise fail2ban pour ces ip ?

Bof...

est-ce que ces attaques peuvent faire ramer mon pc

Absoluemnt pas. Une connexion toutes les 3 secondes, n'importe quelle vielle calculatrice pourrait gérer ça. Un attaque de type DOS ce sont des milliers de requettes toutes les secondes qui arrivent. Bref, même si ton pc est un vieux machine, une requette toutes les 3 secondes ca ne lui fera rien de tout.

parce qu'il rame alors que je ne lui demande pas grand chose et que la ram est très loin d'être utilisée en entier

Si ton pc est lent, la raison est ailleurs. Regarde avec la commande top quel est le pourcentage cpu utilisé et quels sont les processus qui sont les plus gourmand.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#6 Le 20/10/2009, à 12:38

gwado

Re : [résolu]Piratage ou bug ?

ok pour tout.

Mon pc est lent, mais surtout en écoutant de la musique, je me demande s'il ne s'agit pas simplement de bugs qui seront corrigés. Ça grésille énormément avec vlc par ex. Et Rhythmbox n'est pas très stable non plus. Est-ce que c'est parce que je dirige le tout à distance (vlc non, j'en suis sur, mais Rhythmbox) ?

Hors ligne

#7 Le 20/10/2009, à 12:44

Hoper

Re : [résolu]Piratage ou bug ?

Rhythmbox est une grosse usine à gaz... Mais encore une fois, la seule façon de savoir ce qui se passe, c'est de regarder ce qui se passe au moment ou ca "rame". Donc lance le (ou vlc ou n'importe quoi) et quand tu sens que ca rame, lance la commande "top" dans un terminal, et copie le résultat ici.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#8 Le 20/10/2009, à 13:05

gwado

Re : [résolu]Piratage ou bug ?

bon, j'ai trouvé, c'est plus ou moins con. Il s'agit de ma connexion wifi qui est trop lente (bizarre tout de même, je suis à 90cm de ma freebox), parce qu'avec une connexion ethernet, ça marche nickel !

Hors ligne

#9 Le 20/10/2009, à 13:36

Hoper

Re : [résolu]Piratage ou bug ?

Probablement un bug dans le driver alors... (enfin tout dépend de ce que tu fais transiter par le réseau bien sur).


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#10 Le 20/10/2009, à 16:02

gwado

Re : [résolu]Piratage ou bug ?

bah pas grand chose, j'ouvre amarok en ssh par exemple, question d'écouter de la musique. Vraiment rien de spécial.

Hors ligne

#11 Le 20/10/2009, à 21:36

Hoper

Re : [résolu]Piratage ou bug ?

Tu le lance en mode graphique !? avec un deport de display donc !? Parce que si c'est ça c'est un peu normal hein... X11 à jamais été conçu pour être hyper ultra efficace comme protocole. Bref, travailler en mode graphique à distance, ce serait pas surprenant qu'avec du wifi (qui a une latence bien supérieur à un cable ethernet) ca se passe assez mal.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#12 Le 23/10/2009, à 17:19

gwado

Re : [résolu]Piratage ou bug ?

bon, retour, je pense avoir effectivement été piraté, j'ai retrouvé cette vidéo sur le home de mon serveur :
[youtube]http://www.youtube.com/watch?v=arAfIp7YzZ4[/youtube]

Je n'ai pas trop cherché mais ce "coup" a l'air de s'appeler "Mr Magorium's Wunderbar Emporium", "Exploits the vulnerability in all Linux kernels since 2001".

voilà.

Hors ligne

#13 Le 23/10/2009, à 18:32

Hoper

Re : [résolu]Piratage ou bug ?

!? Ca fait belle lurette que c'est corrigé ca... tu fais pas les mises à jour ?
surtout, à ta place, je me demanderai bien comment ce truc a pu arriver la.
Cet exploit permet de passer root, mais seulement une fois que tu es déja connecté sur une machine... bref, soit tu as donné ton mot de passe à quelqu'un, soit il est vraiment ultra trivial, soit c'est un membre de ta famille qui a fait mumuse ayant accès à la machine en local.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#14 Le 23/10/2009, à 18:55

Zakhar

Re : [résolu]Piratage ou bug ?

Si tu as besoin de te connecter à distance à ton PC, à banir SSH, VNC, etc...

Utilise plutôt un VPN du genre OpenVPN.

Le seul port à ouvrir est alors celui du OpenVPN, et tu pourras faire du SSH ou même du FreeNX/NoMachine via OpenVPN.
Là il sera impossible de se connecter à ton PC, sauf à ce que quelqu'un te "vole" tes clés de VPN (on peut toujours ensuite les révoquer).

Si les accès HTTP, FTP te sont réservés, tu peux aussi le faire au travers d'OpenVPN.

Le seul cas où tu dois ouvrir aussi ces ports là est si tu héberges un serveur "public".

Dernière modification par Zakhar (Le 23/10/2009, à 18:56)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#15 Le 23/10/2009, à 19:54

gwado

Re : [résolu]Piratage ou bug ?

pfiouu, bien compliqué tout ça. Pour infos, j'utilise Karmic, donc cette attaque peut encore avoir lieue, apparemment.


Je me suis acheté un nettop msi simplement pour y stocker ma musique, l'écouter avec mon portable de n'importe où dans mon appart' et pour faire des backup sur ce nettop, sur un dd externe usb branché à celui-ci depuis mon portable. That's all.
J'avais presque réussi sauf que ma session ne veut pas s'ouvrir (aucun problème pour le démarrage du pc) sans un écran de branché.
Depuis j'ai installé la version serveur mais je me retrouve assez limité, donc je réinstalle ubuntu-desktop.

Enfin bref, je farfouille, je me documente, c'est pas toujours évident pour un novice. Même si je suis sur Ubuntu depuis Breezy, c'est la première fois que je me lance pour faire un serveur@home. Si j'arrive à mes fins, je ferais un tuto, parce qu'il est pas évident de trouver des infos pour monter un serveur "simple" et simplement.

Hors ligne

#16 Le 23/10/2009, à 20:26

Zakhar

Re : [résolu]Piratage ou bug ?

S'il s'agit juste d'un usage en réseau local, il faut simplement que ta box (ou routeur) soit en mode routeur (mais dès que tu as 2 PC, tu es obligé).

Et surtout sur ton routeur tu n'ouvres AUCUN port (ie. aucun "forward")

Là tu n'as aucun risque (sauf si tu as des Windows sur ton réseau qui ouvrent obligeamment des portes aux hackers !)

S'il y a des windows sur ton réseau local, tu peux, par sécurité, rajouter des règles IPTables pour n'autoriser que les ports correspondants aux protocoles que tu utilises.

... et oui, faire un serveur n'est pas simple. Mais surtout parce que la connaissance en réseaux (et leur sécurité) est encore plus crasse que la connaissance moyenne en informatique. Et pour ça, que tu y mettes Linux, OuinOuin, ou ce que tu veux sur ton serveur, ça ne remplacera pas la connaissance de ce que tu dois faire !
Et la connaissance n'étant pas innée... il te faut hélas te documenter en fonction de ce que tu souhaites faire.

Bonnes lectures donc ! big_smile

Dernière modification par Zakhar (Le 23/10/2009, à 20:29)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne