Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Quand Linux détecte des fichiers contaminés par des virus

mydjey

Mauvaise identification ? C'est que tu donnes pas le bon mot de passe non ?

Serveur domestique ? Tu as un serveur ouvert vers l'extérieur hébergé chez toi ?
Si c'est le cas et sans parefeu ça pourrait peut-être expliquer tes problèmes de "virus"…

pires57

Top en dira davantage. Tu peut faire une passerelle avec un autre pc et analyser avec wireshark aussi
Ta liste contient de vieux virus qui pour la plupart ne fonctionne voir n'existe plus

xunil2003

Re,

Serveur domestique ? Tu as un serveur ouvert vers l'extérieur hébergé chez toi ?

Oui avec site internet (php apache mysql) et asterisk, le seveur gère la domotique.
mais le serveur ne reboot pas lui , pas a ma connaissance du moins ?

Pour Gufw il ne me demande pas le mot de passe ???? il me répond simplement "Mauvaise identification".
Impossible de faire Edition --> Préférence rien est en surbrillance sauf quitter ?
Visiblement il faut faire :

gksudo firestarter

laurent@PC-ubuntu:~$ sudo iptables -L
[sudo] password for laurent: 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  dns1.proxad.net      anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  dns1.proxad.net      anywhere            
ACCEPT     tcp  --  dns2.proxad.net      anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  dns2.proxad.net      anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere             limit: avg 10/sec burst 5
DROP       all  --  anywhere             255.255.255.255     
DROP       all  --  anywhere             192.168.0.255       
DROP       all  --  base-address.mcast.net/8  anywhere            
DROP       all  --  anywhere             base-address.mcast.net/8 
DROP       all  --  255.255.255.255      anywhere            
DROP       all  --  anywhere             0.0.0.0             
DROP       all  --  anywhere             anywhere             state INVALID
LSI        all  -f  anywhere             anywhere             limit: avg 10/min burst 5
INBOUND    all  --  anywhere             anywhere            
LOG_FILTER  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             LOG level info prefix "Unknown Input"

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere             limit: avg 10/sec burst 5
LOG_FILTER  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             LOG level info prefix "Unknown Forward"

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
^[[B^[[B^[[BACCEPT     tcp  --  192.168.0.4          dns1.proxad.net      tcp dpt:domain
ACCEPT     udp  --  192.168.0.4          dns1.proxad.net      udp dpt:domain
^[[A^[[A^[[AACCEPT     tcp  --  192.168.0.4          dns2.proxad.net      tcp dpt:domain
ACCEPT     udp  --  192.168.0.4          dns2.proxad.net      udp dpt:domain
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  base-address.mcast.net/8  anywhere            
DROP       all  --  anywhere             base-address.mcast.net/8 
DROP       all  --  255.255.255.255      anywhere            
DROP       all  --  anywhere             0.0.0.0             
DROP       all  --  anywhere             anywhere             state INVALID
OUTBOUND   all  --  anywhere             anywhere                                                                                         
LOG_FILTER  all  --  anywhere             anywhere                                                                                        
LOG        all  --  anywhere             anywhere             LOG level info prefix "Unknown Output"                                      
                                                                                                                                          
Chain INBOUND (1 references)                                                                                                              
target     prot opt source               destination                                                                                      
ACCEPT     tcp  --  anywhere             anywhere             state RELATED,ESTABLISHED                                                   
ACCEPT     udp  --  anywhere             anywhere             state RELATED,ESTABLISHED                                                   
LSI        all  --  anywhere             anywhere            

Chain LOG_FILTER (5 references)
target     prot opt source               destination         

Chain LSI (2 references)
target     prot opt source               destination         
LOG_FILTER  all  --  anywhere             anywhere            
LOG        tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix "Inbound "
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN
LOG        tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix "Inbound "
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST
LOG        icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix "Inbound "
DROP       icmp --  anywhere             anywhere             icmp echo-request
LOG        all  --  anywhere             anywhere             limit: avg 5/sec burst 5 LOG level info prefix "Inbound "
DROP       all  --  anywhere             anywhere            

Chain LSO (0 references)
target     prot opt source               destination         
LOG_FILTER  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             limit: avg 5/sec burst 5 LOG level info prefix "Outbound "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
laurent@PC-ubuntu:~$

Pour Gufw j'ai fait :

sudo gufw

il m'a demandé le mot de passe , puis j'ai cliqué sur statue (pour l'activer) en suite j'ai cliqué sur ADD onglet avance et j'ai complété par :

Allow - In - UDP - Depuis 212.27.38.253

Mais impossible de voir la tv par internet avec ma freebox avec Gufw ?

Par contre avec firestarter, j'ai trouvé

Onglet: Politique
Edition de la : Politique du trafic entrant
clique droit dans : Autoriser les connexions de l'hote
Nom d'hote : mafreebox.freebox.fr

La maintenant je suis sécurisé

Merci.

mydjey

xunil2003 a écrit
La maintenant je suis sécurisé

Merci.

Euh je suis pas sûr. Ça serait bien que tu expliques l’architecture de ton réseau (nombre de machines et fonctions qu'elles occupent), quand tu parles de parfeu précise du parfeu de quelle machine tu parles.
Vu que tu héberges un serveur web il est indispensable (j'insiste) que tu configures correctement le parfeu du serveur et de l'ensemble du réseau d'ailleurs (c'est le minimum du minimum sur un serveur web).

Des plus pointus que moi te guideront peut-être, je peux t'aider mais je suis pas un spécialiste de la sécurisation de serveur (pour le coup c'est un poil plus complexe que la sécurisation basique d'un réseau local).

xunil2003

Bonjour,

Les postes précédent concerné le poste 4 - 192.168.0.4

Voici mon réseau local

Serveur 1 - DreamPlug - 192.168.0.1 Serveur 1
Serveur 2 - 192.168.0.2 - Serveur 2 (idem au 1, serveur de secours)
Poste 1 - 192.168.0.4 - Client (Le poste qui est lent de temps a autre)
Poste 3 - 192.168.0.5 - Client
Poste 4 - 192.168.0.6 - Client
Poste 5 - 192.168.0.7 - Client
Poste 6 -192.168.0.8 - Client
Poste 7 - 192.168.0.11 - Client
Téléviseur 1 - 192.168.0.11 - Smartv TV 
Téléviseur 2 - 192.168.0.12 - Smartv TV
Lecteur DVD - 192.168.0.13 - Lecteur de salon multimedia.
thermosthat ip - 192.168.0.20
Camera 1 - 192.168.0.25
Camera 2 - 192.168.0.26
Visiophone ip - 192.168.0.29

Mon FAI est Free.

Pour mon serveur iptables est correct pourtant. ?

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:sip 
ACCEPT     udp  --  anywhere             anywhere            udp dpts:10000:20000 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sip 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:sip 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8585 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4661 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4712 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
#

Le serveur me sert de site internet interne (php apache mysql) de téléphonie avec asterisk via les smartphones android pour la domotique, de vidéothèque,musithèque, photothèque (photo familles, etc...) avec le lecteur de salon multimédia et les téléviseurs SmartTV et la freebox, et aussi à gère la domotique (allumer et éteindre appareil et lumière, volet roulant, camera de surveillance, alarme, température, chaufage). visiophone, Voila en gros ce qu'il me permet.
Évidement il s'agit d'un réseau domestique a mon domicile.

Connectique
La freebox est branché sur un hub Rj45, les serveurs, les PC, et appareils Ip sont tous franchés sur le même hub et les téléphones mobile sur le wifi de la freebox.

Question :
Sur le serveur je me connecte en ssh, il n'y a pas d’interface graphique. alors comment voir l'etat du firewall, exemple, sur mon PC j'ai Firestarter qui m'affiche les connexions actives depuis kde mais depuis le terminal comment y voir en temps et en heures les connexions actives du firewall ?

Merci.

mydjey

Le serveur me sert de site internet interne (php apache mysql)

Le site n'est accessible qu'en local ? Pas de port (ex 80) ouvert vers l'extérieur sur la freebox ?

Pour le reste j'ai pas le temps de regarder maintenant.

xunil2003

Bonjour,

Le site n'est accessible qu'en local ? Pas de port (ex 80) ouvert vers l'extérieur sur la freebox

Si justement le port 80 et ouvert vers l'extérieur sur la freebox, afin de gérer le chaufage / caméras / asterisk depuis l’extérieur avec les smatphones et ordi portable.
Pour mon site internet local je l'ai m'y en DNS personnalisée de Free, style : monsiteinternet .hd.free.fr

Merci.

Brunod

Pfiuww ! Vous êtes productif (ou bavards 😉 ) les gars !

xunil2003 a écritBonsoir,
...
...Il suffit d’être en root pendant la tentative d'attaque pour être piégé. Le risque 0 n'existe pas, il est donc logique de vérifier son système, même s'il y a 1% de chance d'être virolé.
...
Merci.

C'est pour ça que sur ubuntu tu utilises sudo et pas root.
Mais je reste éloigné du sujet.

Pour le firewall, je n'ai rien contre. J'ai un firewall X700 avec pfsense qui tourne dessus. Encore faut-il en avoir l'utilité. Où que j'aille, mes portables n'ont pas 36 ports inutiles ouverts, et ceux qui le sont me sont utiles, donc ça va.

Pour ton problème de lenteur, c'est simple : déconnecte-toi du réseau et vois si il est toujours lent.
- Si oui, oublies toutes tes questions sur le firewall car il est certain que ça ne vient pas du réseau.
- Sinon, je plussoie wireshark ou autre.

Haleth

netstat

xunil2003

Bonjour,

Voici un exemple pour scanner les ports ouverts d'une machine.

nmap 192.168.0.1 -p 1-65535

[supprimé]

Faut il installer "nmap" et "zenmap" ? pour utiliser l'interface graphique ?
Ou "nmap" seul suffit sans utilisation de l'interface graphique ?

pires57

Hello, renvois plutot un netstat -tanu (a la place de ton netstat)

mess333

si tu utilisais clamav comme antivirus avec la commande:

sudo freshclam
sudo clamsan -r --infected /

et en laissant tourné tu saurais quels sont les fichiers infectés donc tu aurais plus d'informations.

pires57

Pour toutes demandes autre que celle du sujet originel, il est préfèrable d'ouvrir un autre sujet pour éviter du hors sujet et un double problème .

Wolf

Bonjour,
Ce post est assez intéressant.
Il est évoqué un problème de virus ect .. et effectivement, la config du réseau est loin d'être classique par rapport à un seul PC + une box.
Peut-être qu'il serait intéressant d'isolé le PC posant un problème pour effectuer des tests.
Genre soit :
- le PC seul (pas d'internet) : test HARDWARE : et oui, dans l'histoire, j'ai pas vu d'évoquer un problème hardware .. ça pourrait être le processeur, carte mère .. effectué des tests .. le HDD, la RAM ect ...
e PC seul sur le réseau : virer les serveurs, autres postes (ou au moins les serveurs) pour savoir si il n'y a pas une "attaque" depuis l’extérieur via ton site internet (faille PHP, Java ect ...).

Première étape : vérifie les composants du PC : Memtest pur dos, ect ect .. y'a pas mal de tools en boot-clé USB / CD pour ça.

[supprimé]

Pire57 a écritPour toutes demandes autre que celle du sujet originel, il est préférable d'ouvrir un autre sujet pour éviter du hors sujet et un double problème .

OK je vais ouvrir un topic sur le sujet et supprimer mes posts sur celui-ci

Wolf

@xunil2003 : alors, ça progresse ton problème ? Du nouveau !?

« Page précédente