Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

question intrusion

phiibuntu

bonsoir à tous si une bonne âme pouvait me conseiller sur un vieux doute,
j'héberge un serveur (mumble + un petit forum restreint à quelques amis) rien de méchant
mais voila ce matin je m'aperçois de ça dans mes logs (que je surveille quand meme de temps en temps...hum)

Sep  3 09:00:11 ubuntu kernel: [ 6175.968050] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=8599 DF PROTO=TCP SPT=80 DPT=64037 WINDOW=17066 RES=0x00 ACK URGP=0 
Sep  3 09:02:11 ubuntu kernel: [ 6296.032031] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=8600 DF PROTO=TCP SPT=80 DPT=64037 WINDOW=17066 RES=0x00 ACK URGP=0 
Sep  3 09:02:20 ubuntu kernel: [ 6305.248053] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=25670 DF PROTO=TCP SPT=80 DPT=4866 WINDOW=15598 RES=0x00 ACK URGP=0 
Sep  3 09:02:26 ubuntu kernel: [ 6311.392052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=11057 DF PROTO=TCP SPT=80 DPT=42525 WINDOW=15640 RES=0x00 ACK URGP=0 
Sep  3 09:02:28 ubuntu kernel: [ 6313.184052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=39969 DF PROTO=TCP SPT=80 DPT=50029 WINDOW=15808 RES=0x00 ACK URGP=0 
Sep  3 09:02:48 ubuntu kernel: [ 6332.640054] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63116 DF PROTO=TCP SPT=80 DPT=3454 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 09:02:57 ubuntu kernel: [ 6342.112058] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=51036 DF PROTO=TCP SPT=80 DPT=39281 WINDOW=15640 RES=0x00 ACK URGP=0 
Sep  3 09:03:42 ubuntu kernel: [ 6387.168052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=59888 DF PROTO=TCP SPT=80 DPT=42475 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 09:04:48 ubuntu kernel: [ 6452.704054] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63117 DF PROTO=TCP SPT=80 DPT=3454 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 09:04:57 ubuntu kernel: [ 6462.432053] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=51037 DF PROTO=TCP SPT=80 DPT=39281 WINDOW=15640 RES=0x00 ACK URGP=0 
Sep  3 09:05:42 ubuntu kernel: [ 6507.488052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=59889 DF PROTO=TCP SPT=80 DPT=42475 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 09:06:16 ubuntu kernel: [ 6540.768052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=18812 DF PROTO=TCP SPT=80 DPT=28054 WINDOW=17688 RES=0x00 ACK URGP=0 
Sep  3 09:07:48 ubuntu kernel: [ 6632.928057] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=28134 DF PROTO=TCP SPT=80 DPT=53654 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 09:08:59 ubuntu kernel: [ 6703.840053] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63761 DF PROTO=TCP SPT=80 DPT=63941 WINDOW=15985 RES=0x00 ACK URGP=0 
Sep  3 09:10:17 ubuntu kernel: [ 6781.920056] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=31631 DF PROTO=TCP SPT=80 DPT=5243 WINDOW=16180 RES=0x00 ACK URGP=0 
Sep  3 09:11:15 ubuntu kernel: [ 6840.032041] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=65049 DF PROTO=TCP SPT=80 DPT=56759 WINDOW=15939 RES=0x00 ACK URGP=0 
Sep  3 09:11:23 ubuntu kernel: [ 6847.712049] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=1956 DF PROTO=TCP SPT=80 DPT=64709 WINDOW=17512 RES=0x00 ACK URGP=0 
Sep  3 09:11:50 ubuntu kernel: [ 6874.592050] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.16.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=50200 DF PROTO=TCP SPT=80 DPT=43103 WINDOW=18883 RES=0x00 ACK URGP=0

dans firestarter j'avais des connexions actives de mon serveur vers l'extérieur, dans le doute j'ai ban l'adresse IP incriminé (une adresse SFR à Paris pas forcément le truc de hacker de la mort mais sait on jamais)...
Depuis hier je cherche dans les logs, dans les cron, dans ma base mysql rien je ne trouve aucune anomalies, j'ai passé mes updates changé tout les password du serveurs des bases des appli....

et ce soir rebelotte :

Sep  3 20:26:11 ubuntu kernel: [ 2815.456039] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=13548 DF PROTO=TCP SPT=80 DPT=46176 WINDOW=15912 RES=0x00 ACK URGP=0 
Sep  3 20:26:56 ubuntu kernel: [ 2860.000045] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=28626 DF PROTO=TCP SPT=80 DPT=45064 WINDOW=15808 RES=0x00 ACK URGP=0 
Sep  3 20:27:37 ubuntu kernel: [ 2900.960052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=42059 DF PROTO=TCP SPT=80 DPT=65306 WINDOW=15598 RES=0x00 ACK URGP=0 
Sep  3 20:27:54 ubuntu kernel: [ 2917.600041] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=41063 DF PROTO=TCP SPT=80 DPT=64741 WINDOW=15640 RES=0x00 ACK URGP=0 
Sep  3 20:28:51 ubuntu kernel: [ 2974.688051] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=61235 DF PROTO=TCP SPT=80 DPT=18121 WINDOW=15962 RES=0x00 ACK URGP=0 
Sep  3 20:29:14 ubuntu kernel: [ 2997.984052] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=8130 DF PROTO=TCP SPT=80 DPT=9519 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 20:29:54 ubuntu kernel: [ 3037.664058] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=41064 DF PROTO=TCP SPT=80 DPT=64741 WINDOW=15640 RES=0x00 ACK URGP=0 
Sep  3 20:30:14 ubuntu kernel: [ 3057.888051] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=5694 DF PROTO=TCP SPT=80 DPT=15987 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 20:30:51 ubuntu kernel: [ 3095.008049] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=61236 DF PROTO=TCP SPT=80 DPT=18121 WINDOW=15962 RES=0x00 ACK URGP=0 
Sep  3 20:31:14 ubuntu kernel: [ 3118.048051] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=8131 DF PROTO=TCP SPT=80 DPT=9519 WINDOW=15778 RES=0x00 ACK URGP=0 
Sep  3 20:31:46 ubuntu kernel: [ 3149.792050] Outbound IN= OUT=eth0 SRC=192.168.1.15 DST=92.90.26.65 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=64379 DF PROTO=TCP SPT=80 DPT=38741

mise à part l'IP (tjrs chez SFR) même symptomes même port...
si vous avez des pistes, cela ne me prend pas de bande passantes, cela s'arrete comme ça a commencé, bref on dirait un service de maj quelconque seulement je ne trouve pas d'où ca vient
help... enfin si vous avez 5 minutes, j'aimerai assez peu une intrusion sur ubuntu je suis quand même étonné mais on est jamais trop prudent...
Merci d'avance.

slasher-fun

Bonjour,

Port source = 80, ça m'a tout l'air d'être du trafic "normal" depuis ton serveur web. Regarde dans les logs d'apache (si c'est ce que tu utilises) ce qui se rapporte à cette IP.

phiibuntu

spt= 80 dpt=xxxxxx voudrait dire port source vers un autre port?

du coup mon serveur Apache envoie du port 80 vers le 64037
mais je ne vois pas trop bien dans quel cas un poste se connecterai sur un site via le port 64037 mais bon...

merci pour l'info je vais chercher dans les logs apache, sur firestarter dans l'affichage il y avait le port 64037 mais pas le 80 d'ou ma petite crise de panique, mais je ne suis toujours pas encore rassuré 🙂

slasher-fun

Lorsque tu interroges un serveur via IP, tu interroges ce serveur sur le port sur lequel il écoute (80 avec HTTP par exemple), en lui indiquant de te répondre sur un port aléatoire (64037 ici). C'est "normal".

phiibuntu

je pensais que le serveur te renvoyait la réponse sur le port 80 (seul ouvert dans une entreprise par exemple) si le serveur apache te répondait sur un port aléatoire tu ne risque pas de bloquer la réponse avec ton pare feu?

slasher-fun

Non, le pare-feu ne bloque pas "bêtement" : si une connexion sortante est autorisée, il laisse passer le trafic "réponse" sur le port aléatoire correspondant.
Si tu lis l'anglais : https://en.wikipedia.org/wiki/Ephemeral_port

phiibuntu

merci beaucoup pour ces éclaircissements, (même si sur le wiki la phrase "Many Linux kernels use the port range 32768 to 61000" ne m'arrange pas vu les ports utilisés, mais bon many ne veut pas dire tous ^^)

Ce matin je vais éplucher les les logs apache (je veux vraiment être sur lol )

Je pense que ce qui m'a perdu c'est l'affichage dans Firestarter ou le port source n'apparaissait pas (dans l'interface graphique)
l'usage du port 80 vers une IP distante m'aurait moins perturbé lol vu que bon j'héberge un forum.... quel noob 🙂

Merci encore, ça fait plaisir de voir que ce forum continue d'être vraiment efficace avec plein de gens sympa (sur ubuntu depuis la 7.10 je post tellement peu vu que je trouve quasiment tout ce que je cherche ici lol)

phiibuntu

bon je viens de vérifier mes logs apache c'est bien ça!
merci pour cette réponse rapide et efficace 🙂 ça m'aura permis de progressé..un peu 🙂

Vraiment je sais pourquoi j'aime tant Ubuntu 🙂 toujours une super communauté!