Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

je crois que ca sent pas bon...

jacques06

depuis hier je ne vois plus le message m'indiquant la source et l'heure de la dernière connexion.
du coup premier reflexe je fais un petit netstat et voila ce que je vois en faisant un commande netstat...
je pense que 2 personnes sont sur ma machine et qu'elle doit être hackée, mais les adresses ip données en reverse ont l'air bidon (iptables et cutter ne changent rien..) (Anice c'est moi.... les autres connait pas et ils n'ont rien a faire la.
je ne vois rien dans les fichiers de log...
en théorie (oui je sais mais mes connaissances sont assez minime dans le domaine des firewal) je suis protégé par défaut via le firewal fourni avec le vds amen... mais il y a d'autres failles sur la machine : plesk, pour commencer...
comment me débarrasser de ces cancrelats?
une idée /piste/ kit de survie?

root@vds-xxxxxx:/etc/rc0.d# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost.localdo:60705 localhost.localdom:smtp TIME_WAIT
tcp        0      0 localhost.localdo:33820 localhost.locald:domain TIME_WAIT
tcp        0      0 localhost.localdo:33607 localhost.locald:domain TIME_WAIT
tcp        0      0 vds-xxxxxxxx.amen-p:53618 mangoo.webkazan.ru:12   ESTABLISHED
tcp6       0    132 vds-xxxxxxxxx.amen-pro:ssh ANice-754-1-63-16:60784 ESTABLISHED
tcp6       0    720 vds-xxxxxxxxx.amen-pro:ssh 182.252.177.143%5:60356 ESTABLISHED
udp        0      0 localhost.localdo:52462 localhost.localdo:52462 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ]         DGRAM                    3929081454 @/org/kernel/udev/monitor
unix  2      [ ]         DGRAM                    3929081436 @/org/kernel/udev/udevd
unix  8      [ ]         DGRAM                    3929082536 /dev/log
unix  3      [ ]         STREAM     CONNECTED     3947005149
unix  3      [ ]         STREAM     CONNECTED     3947005148
unix  3      [ ]         STREAM     CONNECTED     3946888389
unix  3      [ ]         STREAM     CONNECTED     3946888388
unix  3      [ ]         STREAM     CONNECTED     3946888341
unix  3      [ ]         STREAM     CONNECTED     3946888340
unix  3      [ ]         STREAM     CONNECTED     3946888330
unix  3      [ ]         STREAM     CONNECTED     3946888329
unix  3      [ ]         STREAM     CONNECTED     3946888082
unix  3      [ ]         STREAM     CONNECTED     3946888081
unix  3      [ ]         STREAM     CONNECTED     3946888073
unix  3      [ ]         STREAM     CONNECTED     3946888072
unix  3      [ ]         STREAM     CONNECTED     3946887971
unix  3      [ ]         STREAM     CONNECTED     3946887970
unix  3      [ ]         STREAM     CONNECTED     3946878468
unix  3      [ ]         STREAM     CONNECTED     3946878467
unix  3      [ ]         STREAM     CONNECTED     3946878243
unix  3      [ ]         STREAM     CONNECTED     3946878242
unix  2      [ ]         DGRAM                    3943740509
unix  3      [ ]         STREAM     CONNECTED     3929099605
unix  3      [ ]         STREAM     CONNECTED     3929099604
unix  2      [ ]         DGRAM                    3929098569
unix  2      [ ]         DGRAM                    3929096275
unix  2      [ ]         DGRAM                    3929095953
unix  2      [ ]         DGRAM                    3929083390
unix  2      [ ]         DGRAM                    3929082702

jacques06

bon evidement mon serveur est un gruyère (ou plutot un enmental)
reste a savoir s'il etait comme ca ou s'il l'est devenu grâce a vilain.
toujours est il que vilain reste accroché même si je redémarre le serveur...
je me dit qu'il doit avoir qquechose dans le init.d, et je grep l'ip le hostname etc... dans /etc/, dans les rc*/d et ... que d'ale..

il doit pourtant bien être qque part pour se lancer au demarage, non? ou alors c'est un programe compilé...
Des idées?
autre probleme qui me fait dire que mon serveur est un emental : iptables ne renvoie aucune regle... c'est normal docteur? et mon interfce plesk me dit qu'il ne peut pas ecrire dans iptables...
peut être que vilain a fait qque chose de ce coté la aussi?

donc en attendant lundi... (et oui long WE), ou je vais pouvoir demander a un copain sysadmin pro de regarder ce qui se passe, si qqunn a des pistes, je suis preneur...

jacques06

bon reinsatalation de la derniere version de plesk, mise a jour de tous les logiciels de la machine...
l'interface de firewal de plesk l'air de fonctinner, et maintenant j'ai ça...

root@vds-xxxxxxxxx:/home/ts# iptables --list
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8880
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  localhost.localdomain  anywhere            tcp dpt:ssh
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:ssh
ACCEPT     tcp  --  192.168.0.0/16       anywhere            tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere            tcp dpt:submission
DROP       tcp  --  anywhere             anywhere            tcp dpt:smtp
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssmtp
DROP       tcp  --  anywhere             anywhere            tcp dpt:pop3
DROP       tcp  --  anywhere             anywhere            tcp dpt:pop3s
DROP       tcp  --  anywhere             anywhere            tcp dpt:imap2
DROP       tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:poppassd
DROP       tcp  --  anywhere             anywhere            tcp dpt:poppassd
ACCEPT     tcp  --  localhost.localdomain  anywhere            tcp dpt:mysql
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:mysql
DROP       tcp  --  anywhere             anywhere            tcp dpt:mysql
ACCEPT     tcp  --  localhost.localdomain  anywhere            tcp dpt:postgresql
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:postgresql
DROP       tcp  --  anywhere             anywhere            tcp dpt:postgresql
DROP       tcp  --  anywhere             anywhere            tcp dpt:9008
DROP       tcp  --  anywhere             anywhere            tcp dpt:9080
ACCEPT     udp  --  172.20.0.0/24        anywhere            udp dpt:netbios-ns
ACCEPT     udp  --  172.20.0.0/24        anywhere            udp dpt:netbios-dgm
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:netbios-ssn
ACCEPT     tcp  --  172.20.0.0/24        anywhere            tcp dpt:microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-ns
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm
DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
DROP       udp  --  anywhere             anywhere            udp dpt:domain
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     icmp --  localhost.localdomain  anywhere            icmp type 8 code 0
ACCEPT     icmp --  172.20.0.0/24        anywhere            icmp type 8 code 0
DROP       icmp --  anywhere             anywhere            icmp type 8 code 0
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

ca 'a l'air mieux (bon pour le ftp c'est normal, mais c'est temporaire le temps de mettre a jour un de mes sites web)

le pb c'est que je n'arrive pas a me dearasser du vilain ruskof...

:/home/ts# netstat --numeric-users
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 62.193.XXX.XXX:45009     89.111.190.99:12        ESTABLISHED

a.k.a

 netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 vds-XXXXXXX.amen-p:45009 mangoo.webkazan.ru:12   ESTABLISHED
tcp        0    216 172.20.0.1:ssh          172.20.0.10:59027       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57896       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57895       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57894       ESTABLISHED
tcp        0      0 172.20.0.1:postgresql   172.20.0.10:57893       ESTABLISHED
udp        0      0 localhost.localdo:55972 localhost.localdo:55972 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ]         DGRAM                    4169164462 @/org/kernel/udev/monitor
unix  9      [ ]         DGRAM                    4169165664 /dev/log
unix  2      [ ]         DGRAM                    4169164443 @/org/kernel/udev/udevd
unix  2      [ ]         DGRAM                    4172228059 /opt/psa/var/modules/firewall/safeact.confirm
unix  2      [ ]         DGRAM                    4173880359
unix  3      [ ]         STREAM     CONNECTED     4173593567 /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     4173593566
unix  2      [ ]         DGRAM                    4173593564
unix  2      [ ]         DGRAM                    4169180994
unix  3      [ ]         STREAM     CONNECTED     4169180232
unix  3      [ ]         STREAM     CONNECTED     4169180231
unix  2      [ ]         DGRAM                    4169179671
unix  2      [ ]         DGRAM                    4169179350
unix  2      [ ]         DGRAM                    4169166549
unix  2      [ ]         DGRAM                    4169165827

bien cutter en compagnie ne marchent pas et comme je le dis plus haut le reboot non plus, vilain semblant avoir mis sur ma machine un programme qui se connecte a lui
je verrais bien une règle iptable qui rejete tout ce qui sort vers lui, mais je ne sais pas comment faire... (oui je sais je suis nul...)

lann

C'est bizarre : si j'ouvre l'adresse mangoo.webkazan.ru dans le navigateur, je tombe sur plest.

ça ne serait pas ton programme plest qui se connecte en tcp ?

sinbad83

Salut,
as-tu regardé ce que donne last pour voir les connexions ?
Pour compléter ta protection, il y a fail2ban.

jacques06

pour le programme plesk, c'et arce que l'attanquent est sur un VDS en russie 😉 vds qui utilise plsek (peut etre installé lors d'une faille de plesk ui a été comblée en fevrier

last donne : les connections a mes ftp (toutes normales) et a la fin

reboot   system boot  2.6.18-028stab06 Mon May  4 13:39 - 23:48 (22+10:08)
reboot   system boot  2.6.18-028stab06 Mon May  4 13:35 - 13:39  (00:03)

wtmp begins Mon May  4 13:35:35 2009

merci pour votre aide, de mon coté j'ai avancé un peu en mettant des regles plus stricte a mon firewall en excluant carrement et explicitement l'IP (ce qui n'est pas tres propre je trouve...et toutes les connection entrante nons spécifiée (ce qui me pose des pb pour mon VPN...)
et pour l'instant la connection existe toujours, par contre elle est en statut SYN_SENT depuis 2 heures ce qui signifie d'une part que la connection n'a pas pu être établie et d'qutre part qu'un daemon doit tenter de la reactiver au moins toutes les 2 minutes, d'apres ce j'ai lu puisque le statut SYN_SENT devrait passer en time out au bout d'un moment.

je vais regarder fail2ban, je ne connaissais pas..

mais bon au moins je suis seul sur mon serveur...
reste a comprendre ce qui lance cette connection et a l'erradiquer... la je seche un peu... des avis?

nesthib

À mon avis, sauvegarde tes données et réinstalle ton serveur.

Est-ce que tu peux coller le contenu de /var/log/auth.log quelque part ? Ainsi que le retour de la commande « who ».

jacques06

who

root     pts/0        May  8 18:59 (anice-754-1-63-167.w86-193.abo.wanadoo.fr)

c'est moi 😉

quand a /var/auth.log...

root@vds~# cat /var/log/auth.log

root@vds-:~#

on a affaire a un petit malin... pas tres discret mais malin 😉
j'aimerais bien éviter la réinstallation... tellement de trucs la dessus... pas de grande valeur, mais des heures et des heures a configurer tous mes serveurs.
ce que je souhaite surtout c'est faire en sorte que mon ordi ne devienne pas une boite a spam, un zombie ou un cpu a usage des russes...

nesthib

Est-ce que tu penses que ton intrus a pu avoir les droits root ? (j'aurais tendance à dire que oui s'il a pu supprimer les logs)
Si c'est le cas, veux-tu prendre le risque d'avoir une porte dérobée sur ta machine qui lui permette de revenir quand il veut ?

Que te donne :

netstat -tn

jacques06

vilain est toujours en SYN_SENT 🙂

# netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      1 62.193.196.91:54191     89.111.190.99:12        SYN_SENT # (c'est vilain)
tcp        0    268 62.193.196.91:22        86.193.198.167:57358    ESTABLISHED # (c'est moi)
tcp        0      0 172.20.0.1:5432         172.20.0.10:59899       ESTABLISHED
tcp        0      0 172.20.0.1:5432         172.20.0.10:59898       ESTABLISHED
tcp        0      0 172.20.0.1:5432         172.20.0.10:59897       ESTABLISHED
tcp        0      0 172.20.0.1:5432         172.20.0.10:59896       ESTABLISHED

maintenant il faut trouver la backdoor... peut être en cherchant ce qui efface le auth.log? y a t'il un moyen de surveiller les accès a un fichier donné sous debian?
sinon j'ai ajouté dans la cron le script suivant : toutes les 2 minutes :
date >> ~/chasse_au_vilain
netstat -tn >> ~/chasse_au_vilain
je vais essayer de faire un petit script apres pour me prévenir en cas de truc bizarre (c'est marrant, ca faisait tres longtemps que j'avais pas codé, et c'est comme le vélo, a la reprise c'est difficile, mais ca revient vite 🙂 )

[supprimé]

sudo lsof -i:54191

54191 c'est transmission. normal à première vue.
est-ce que tu fais du torrent P2P ?

nesthib

Est-ce que tu peux poster le contenu de ton /etc/ssh/sshd_config ?
Et lance la commande suivante pour empêcher la suppression d'auth.log :

chattr +a /var/log/auth.log

le fichier ne pourra qu'être accessible en écriture pour l'ajout de données.
Tu peux vérifier que le drapeau « a » est fonctionnel avec la commande :

lsattr /var/log/auth.log

Pense à supprimer l'attribut quand tu auras fini ton enquête :

chattr -a /var/log/auth.log

Tu peux également vérifier les programmes qui utilisent auth.log avec :

lsof /var/log/auth.log

et de manière automatique :

watch lsof /var/log/auth.log

jacques06

super merci beaucoup 😃 je te tiens au courant
Le fichier demandé :

 cat  /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

jacques06

@Titouan dsl j'avais pas vu ton message non je ne fais pas de P2P sur cette machine... peut être que je devrais chercher un programme de P2P dans mes installs...
je vais chercher des noms de programmes a chercher 🙂.

nesthib

Ton fichier de config explicite bien de créer le log. As-tu essayé les commandes ci-dessus ?

Autre chose, install [apt]iftop[/apt] et lance :

sudo iftop -i eth0

(si eth0 est ton interface réseau), tu pourras surveiller en direct le trafic réseau. Il est normal que ta machine fasse beaucoup d'appels à des serveurs externes, ne panique pas à cause de ça (mises à jour ubuntu, résolution DNS…). Avec la touche « n » tu peux basculer la résolution des noms de domaine pour y voir plus clair.

nesthib

Globalement d'accord avec les remarques d'Ignus, sauf pour le changement de port de ssh. Ça ne sert à rien et ça peut te poser des problèmes a posteriori.

Haleth

je suis protégé par défaut via le firewal

Un firewall ne va jamais te protéger, ni augmenter ta sécurité

moko138

Haleth a écritUn firewall ne va jamais te protéger, ni augmenter ta sécurité

Je croyais que c'était sa fonction. Peux-tu expliquer, s'il te plaît ?

Haleth

Un firewall, ca sert pour modifier les paquets

Plutôt que de refaire un speech:

Allez, comme je suis de bonne humeur ce soir, je vais essayer de t'expliquer un minimum. Imagine qu'un ordinateur est une maison avec plein de fenêtre (que des fenetres, il y a pas de portes). Informatiquement, chaque fenetre est un "port". Quand ton OS démarre (vraiment au début), toutes les fenetres sont fermées. Essaye de te connecter sur un PC qui n'a pas finit de booter, tu va voir que ça va pas bien se passer.
Ensuite, au fur et à mesure, l'OS lance des logiciels. Par exemple, si tu lance un serveur ftp sur ta machine, cela va probablement "ouvrir" la fenetre numéro 21. En réalité, c'est simplement que le programme "serveur ftp" se met derière la fenetre, et que si quelqu'un tape à cette vitre, il va ouvrir et répondre "oui, je suis un serveur ftp, qu'est ce que vous voulez ?"

Et si c'est un client ftp qui a tapé à la fenêtre, il vont se mettre à discuter ensemble. Voila comment ça marche. Donc "ouvrir" ou "fermer" un port ça ne veut rien dire. Un FW, c'est (entre autre) une clôture que tu met autour de la maison pour empêcher tout le monde de s'approcher. Sauf que si tu laisse personne entrer ou sortir, ton pc, autant débrancher le câble réseau hein... Bref, pas de firewall activé sous ubuntu par défaut parce que ça sert à rien. Le gars qui est, par exemple, derrière la fenêtre 21 est suffisamment costaux pour péter la gueule d'un gars qui voudrait entrer dans la baraque par cette fenêtre si il fait pas parti des gens autorisé à entrer. Et c'est pareil pour chaque gars derrière chaque fenêtre. LE fait de mettre une clôture devant n'y changera strictement rien, car si tu attend des invités, il va bien falloir les laisser entrer de toute façon, et c'est pas la clôture qui vérifiera leur identité.

En espérant que tu ai un peu mieux compris...

Hoper

nesthib

C'est une analogie un peu réductrice, le pare feu peut très bien jouer le rôle de « gardien » et vérifier la provenance des paquets, la quantité de paquets entrant… tel que tu le décris un pare-feu ne sert à rien, ce qui est loin de la réalité.

Page suivante »