Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Résulta d'analyse de rkhunter ??

Azad

Et ne croie pas que non plus parce que tu parle français mieux que moi ou que tu parle l'anglais et que tu a une licence ou une formations "peut-être tu a même pas ça mais ce n'ai pas important" en informatique que tu peut te permettre a parles au gens avec du mépris.

Merci a Nesthib qui il a tout compris.
Merci aussi a zonar_zystem pour ça réponse cordial.

Heureusement qui il y aussi des homme bonne qui nous donne envie et force de croire et aimer.

Hoper

2. Je poserais la même question parce que tes idées sont incohérent avec la documentation de site ubuntu.

Parce que tu crois que la documentation ubuntu détient la vérité absolue !? Décidément il est vraiment urgent que je modifie la page de rkhunter moi... Du coup, ce sera pas moi qui te le dira, ce sera la page de doc. Et la, c'est sur, ça va tout changer.

3. Je poserais la même question parce que tes idées sont incohérent avec les analysés des logiciels que tu me dit de les désinstaller parce que après toi ça ne sert a rien si on comprend pas l'anglais.

ah non, pas seulement l'anglais en fait... Il faut maitriser l'anglais, et SURTOUT les systèmes unix. Car même si ces logiciels avaient étés écrit en français, ça ne t'avancerai absolument pas d'avantage. Tu ne comprendrai rien de plus, et tu n'aurai toujours pas de réponses à ta question "mon pc est il infecté ou pas".

Et je n'en veux pas de les arguments de genre;

Tu ne veux pas entendre la vérité ? Et bien crois ce que tu veux alors... Et continu à installer des firewall, des anti-virus, des logiciels d'analyses divers et variés que tu ne maitrise pas et surtout totalement inutiles dans ton cas et... bein démerde toi avec :p

Heureusement qui il y aussi des homme bonne qui nous donne envie et force de croire et aimer.

Si tu savait à quel point tu es à coté de la plaque.. Si tu savais le temps que je passe à aider les gens, informaticiens ou non... A quel point je me casse le cul pour former un maximum de gens... Va faire un petit tour sur mon blog pour rire. C'est juste que dans ton cas il y a trop de boulot, et surtout ton attitude qui laisse vraiment trop à désirer -> Je renonce. Heureusement que tout le monde ne pense pas, comme toi, que parce qu'on aide les gens tout leur est du.

/me, qui va de ce pas mettre à jour la doc de rkhunter

Hoper

Voila... Va relire l'introduction sur la page de doc de rkhunter. Et puisque c'est écrit dans la documentation, c'est que c'est vrai :p

Siap

Bonjour,

oulaahhhhhhhh .... mais ils vont finir par se friter ces 2 là ..... alors faisons simple ....

@ Azad ton Pc est pourri ... si si je t'assure ... mais personne ici pourra d'aider vu le peu de personne capable de lire et comprendre les log .... et que tu n'es pas d'accord avec ce que l'on te dit.

Maintenant tu fais quoi ??????????????????????????????????????????????????????????????????????????????? car je t'assure il est pourri

Puisque c'est ce que tu voulais entendre depuis le début !!!!!!

MDR je viens de lire la doc de Rkhunter, bin t'as pas le cul sorti des ronces ....

Tout cela pour te dire et faire comprendre quoi ?

quand on a une personne comme Hoper inscrit sur ce forum depuis octobre 2005, qui a certainement tourné sous 05.10 .... p'tain , il te faut aussi écouté la parole des anciens ...

Je pense que si il te racontait des conneries il aurait été repris depuis longtemps surtout sur un sujet de sécurité

Et pour finir évite les copier coller présent du post 20 avec ce type de site: http://www.objectif-gagner.com/pourquoi-vouloir-toujours-avoir-raison/ cela te discrédite encore plus

globetrotteur

@ Azad

Si le sujet est toujours d'actualité pour toi, voici quelques pistes de réflexion (résultats de mes recherches personnelles ...ben non t'es pas le seul ... 😉 ) ...

ANTIVIRUS

Voici un post du Forum Ubuntu qui peut t'intéresser : http://forum.ubuntu-fr.org/viewtopic.php?id=435999&p=1
Doc Ubuntu à lire attentivement !! : http://doc.ubuntu-fr.org/antivirus#les_antivirus_sous_gnulinux

à retenir : les bases des antivirus sous linux sont principalement des bases de virus Windows (les virus linux sont rares et très vite contrés et donc inopérants) => intéressant pour ne pas transmettre de saloperies à un copain sous win via une pièce jointe ou un fichier vérolé sur clé usb ...
Si fichier infecté il y a, sache que ce virus/malware windows ne saurait pas s'exécuter sous linux, mais peut se transmettre ... (c'est la principale préoccupation de certains, car niveau du système en lui même, le risque est quasi nul si on respecte les règles élémentaires de sécurité : faire attention à ce qu'on télécharge et installe depuis le net (paquets non vérifiés, dépôts inconnus, ppa "exotiques", ...); faire gaffe à ce qu'on manipule en "root"; ne pas mettre le système en "root" permanent; ...)

Bitdefender (console ou graphique) : http://doc.ubuntu-fr.org/bitdefender
Avast (console ou graphique) : http://doc.ubuntu-fr.org/avast
ClamAV (console ou graphique) : http://doc.ubuntu-fr.org/clamav

Ce que dit Wikipedia :
Les malware Linux : http://fr.wikipedia.org/wiki/Liste_des_malwares_Linux
Liste des antivirus : http://fr.wikipedia.org/wiki/Liste_de_logiciels_antivirus

ROOTKITS

Doc Ubuntu sur les Rootkits : http://doc.ubuntu-fr.org/rootkit
Discussion (même question que toi) : http://forum.ubuntu-fr.org/viewtopic.php?id=414970
Voir aussi sur rkhunter : http://plfnicolarius.free.fr/tutoriel_logiciel_freebsd_linux_detection_de_rootkits_sous_linux_et_freebsd.php
à retenir :

... Ne vous affolez pas si vous voyez le message warning apparaître ... Le cas où il y a vraiment raison de s'affoler lorsqu'il y a un warning de mentionné est lors de l'étape de scan de rootkits connus. Vous y voyez les noms des rootkits connus défiler et si ils sont présents ou non.

Dans les résultats rkhunter que tu donne, je ne vois aucun rootkit mentionné => ...
au lieu de mettre la commande : "sudo rkhunter --checkall --report-warnings-only" mets : "rkhunter --check" => tu verras cette fameuse liste des rootkits avec [not found] => c'est OK (voir lien ci-dessus sur rkhunter => saisies d'écran)
Pour interpréter tous les résultats, faut déjà pas mal s'y connaître et, à part un utlisateur confirmé ou un pro, bien malin celui qui peut te répondre ... (moi j'ai installé 😃 , ... pour voir 😐 ... j'ai vu :/ , ... j'ai pas (tout) compris 🙁 ... et j'ai ... désinstallé 😉 ! :lol: )

Wikipédia : http://fr.wikipedia.org/wiki/Rootkit

Réflexion perso : Windows 8 et son sécureBoot tisse sa toile et rend parano ... la chasse aux rootkits est ouverte ... :lol:

PARE-FEU

Doc Ubuntu sur le Pare-feu : http://doc.ubuntu-fr.org/pare-feu
Gufw : http://doc.ubuntu-fr.org/gufw
http://forum.ubuntu-fr.org/viewtopic.php?pid=3513119

Voilà, de quoi te documenter et te faire ta propre opinion sur l'utilité ou non de la chose ...

Folavoalh

bonjour,
je déterre cette discussion, ce matin j'ai eu une alarme virus suite au clic dans un mail malveillant (l'adresse commençait par un nom connu, je ne me suis pas méfié...
je suis sous ubuntu 16.04 64 bits, navigateur firefox
j'ai fait tourner rkhunter et j'ai eu les résultats suivants :
en commande report warning only :
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
/dev/shm/pulse-shm-1530965054: data
/dev/shm/pulse-shm-3991868733: data
/dev/shm/pulse-shm-2447374233: data
/dev/shm/pulse-shm-885998629: data
/dev/shm/pulse-shm-505901614: data
/dev/shm/pulse-shm-1287827050: data
/dev/shm/pulse-shm-3164730826: data
/dev/shm/pulse-shm-1055513566: data
/dev/shm/pulse-shm-3602784006: data
/dev/shm/pulse-shm-3603842917: data

en commande check :
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ Warning ] en rouge...
/usr/bin/bsd-mailx [ OK ]
------
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ] en rouge..
Checking for hidden files and directories [ None found ]

mes authentifications vers mon opérateur et ma boîte mail ont eu du mal à redémarrer et prennent leur temps pour s'afficher

est ce grave docteur
merci de vos commentaires
JL.C

jean-luc5629

Folavoalh a écritbonjour,
est ce grave docteur
merci de vos commentaires
JL.C

Salut;

Ici, très bonne réponse de bruno:

https://forum.ubuntu-fr.org/viewtopic.php?pid=21892492#p21892492

🙂

Folavoalh

ok très bien merci, mais si je peux faire quelque chose avant que ma machine ne meure, je voudrais bien savoir
ou que je m'aperçoive avoir été délesté de tous mes identifiants et mots de passe
j'essaie d’appréhender le danger avec les moyens du bord
si il y a mieux, je prends, mais si pas grave on laissera tomber
JL.C

bruno

Je crois que tu n'a s pas compris ma réponse.
rkhunter ou chkrootkit ne sont pas des anti-virus leut usage est réservé aux spécialistes de la sécurité qui voudrait analyser une machine compromise.

De toute façon un anti-virus est parfaitement inutile sous GNU/Linux. Si tu n'utilises que les dépôts officiels de ta distribution, que tu fais régulièrement les mises à jour et que tu n'installes pas n'importe quel service sans savoir le configurer (pourquoi postfix sur ta machine ?) tu ne risques absolument rien.

Folavoalh

mais si j'ai compris
et je ne cherche pas d'antivirus et je n'ai utilisé ces logiciels pour vérifier l'intégrité logicielle de mon pc, suite à un clic ce matin dans un mail, clic qui a déclenché une alarme virus, windows apparemment
je ne suis pas spécialiste windows ou linux, simple utilisateur
il est quand même écrit sur différents sites, que l'installation de "malware" sous linux est possible, d'où mon interrogation sur ces warnings
quant aux dépots, je n'y fais que rarement accès, les màj,
s'il n'y a pas de remède, je vais en rester là, on verra bien
JL.C

bruno

L’installation d'applications malveillantes sous Linux est possible mais elle est extrêmement difficile et requiert une action volontaire de l'administrateur système (root).
Il n'y a pas de remède car il n'y a pas de maladie 😉

bazzanella

Je remonte ce post car il me semble important de préciser certains points concernant la sécurité. Cela sera utile à d'autres, je pense. Ni plus, ni moins.

1/ mettre à jour son BIOS et le protéger par mot de passe.

La raison est celle-ci : https://translate.google.com/translate?hl=fr&sl=en&u=https://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/&prev=search
avec une démonstration qu'un pirate est capable de faire : https://www.youtube.com/watch?v=XpJT-nj4nss

2/ installer rkhunter après avoir installé ubuntu

Modifications dans /etc/rkhunter.conf :
ALLOWDEVFILE=/dev/shm/pulse-shm-*
ALLOWHIDDENDIR=/etc/.java

sudo rkhunter -c --rwo
devrait vous envoyer aucune alerte sur une ubuntu 16.04.4 lts

Paramétrez le parefeu. Personnellement, j'ai fait un petit script pour plus de facilité.

sudo firewall aide

J'ai mis ce script dans /usr/sbin/firewall avec un chmod 100. Ce script me sert également de mémo

#!/bin/bash

############# 0/ FONCTIONS ###################
##### ne pas modifier ########################

set_reset () {
 echo "o" | /usr/sbin/ufw --dry-run reset
 saverule=$(ls /etc/ufw/before.rules.*)
 cp $saverule /etc/ufw/before.rules
}

set_serviceStop () {
 /usr/sbin/service nmbd stop
 /usr/sbin/service smbd stop
}

set_serviceStart () {
 /usr/sbin/service nmbd restart
 /usr/sbin/service smbd restart
}

set_clean () {
 ### Nettoyage des sauvegardes des regles.
 rm -f /etc/ufw/after6.rules.*
 rm -f /etc/ufw/before6.rules.*
 rm -f /etc/ufw/after.rules.*
 rm -f /etc/ufw/before.rules.*
 rm -f /etc/ufw/user6.rules.*
 rm -f /etc/ufw/user.rules.*

 ### Appliquer la journalisation
 /usr/sbin/ufw logging on
}

set_save () {
 ### Appliquer les changements
 /usr/sbin/ufw disable
 /usr/sbin/ufw enable
} 

set_view () {
 ### Afficher les regles de parefeu (numérotées)
 echo ""
 echo "REGLES ACTIVES :"
 /usr/sbin/ufw status numbered
}

set_secure () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetSecure () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetSamba () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### autorise SSH port 22 en sortie
 /usr/sbin/ufw allow out 22/tcp

 ### autorise SAMBA 4
 # nf_conntrack_netbios_ns présent dans PT_MODULES, fichiers /etc/default/ufw
 ## Kerberos 88tcp/udp
 /usr/sbin/ufw allow out  from 192.168.1.0/24 to 192.168.1.0/24 port 88
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 88
 ## End Point Mapper (DCE/RPC Locator Service) 135/tcp
 /usr/sbin/ufw allow out  proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 ## NetBIOS Name Service 137/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 ## NetBIOS Datagram 138/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 ## NetBIOS Session 139/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 ## LDAP 389/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 389
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 389
 ## SMB over TCP 445/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 ## Kerberos kpasswd 464/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 464
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 464
 ## LDAPS (TLS) 636/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 ## Dynamic RPC Ports 1024:1300/tcp 
 ## ( The range matches the port range used by Windows Server 2008 and later. Samba versions before 4.7 used the TCP ports 1024 to 1300 instead )
 ##/usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 49152:65535
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 1024:1300
 ## Global Catalog 3268/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3268
 ## Global Catalog SSL 3269/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3269
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Demarrage des services
 set_serviceStart
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetVpn1 () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### OPEN VPN entreprise
 /usr/sbin/ufw allow out on tun0
 # Ethernet
 /usr/sbin/ufw allow out on enp9s0 to X.X.X.X port 53,1195 proto udp
 # Carte Wifi
 /usr/sbin/ufw allow out on wlp12s0 to X.X.X.X port 53,1195 proto udp
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_defaut () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant
 ### On autorise tout en sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default allow outgoing
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetPublic () {
 set_serviceStop
 set_reset

 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing

 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp

 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp

 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp

 ### autorise Mail Administration
 ## Web
 /usr/sbin/ufw allow out 7071/tcp

 ### autorise Zenthyal Administration
 ## Web
 /usr/sbin/ufw allow out 8443/tcp

 ### Autorise mail securise SSL
 # smtp
 /usr/sbin/ufw allow out 465/tcp
 # imap
 /usr/sbin/ufw allow out 993/tcp

 ### Autoriser le Whois en sortie
 /usr/sbin/ufw allow out 43/tcp

 ### Autoriser le port des clés publiques des dépôts de paquets logiciels de Launchpad en sortie
 /usr/sbin/ufw allow out 11371/tcp

 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_Maison () {
 set_serviceStop
 set_reset

 ### On bloque tout en entrant et autorise en sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default allow outgoing

 ### autoriser Internet en sortant
 #/usr/sbin/ufw allow out 80/tcp
 #/usr/sbin/ufw allow out 53/udp
 #/usr/sbin/ufw allow out 443/tcp

 ### autorise Proxmox Administration
 ## Web
 #/usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 #/usr/sbin/ufw allow out 8888/tcp
 ### autorise Mail Administration
 ## Web
 #/usr/sbin/ufw allow out 7071/tcp
 ### autorise Zenthyal Administration
 ## Web
 #/usr/sbin/ufw allow out 8443/tcp
 ### Autorise mail securise SSL
 # smtp
 #/usr/sbin/ufw allow out 465/tcp
 # imap
 #/usr/sbin/ufw allow out 993/tcp
 ### Autoriser le Whois en sortie
 #/usr/sbin/ufw allow out 43/tcp
 ### Autoriser le port des clés publiques des dépôts de paquets logiciels de Launchpad en sortie
 #/usr/sbin/ufw allow out 11371/tcp
 ### autorise SSH port 22 en sortie
 #/usr/sbin/ufw allow out 22/tcp
 ### Autorise SSH en entree depuis portable 
 #/usr/sbin/ufw allow in proto tcp from 192.168.1.51 to 192.168.1.200 port 22
 ### autorise FTP en sortie
 #/usr/sbin/ufw allow out 20/tcp
 #/usr/sbin/ufw allow out 21/tcp

 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetDev () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### Autorise mail securise SSL
 # smtp
 /usr/sbin/ufw allow out 465/tcp
 # imap
 /usr/sbin/ufw allow out 993/tcp
 ### autorise SSH port 22 en sortie
 /usr/sbin/ufw allow out 22/tcp
 ### autorise FTP en sortie
 /usr/sbin/ufw allow out 20/tcp
 /usr/sbin/ufw allow out 21/tcp

 ### autorise SAMBA 4
 # nf_conntrack_netbios_ns présent dans PT_MODULES, fichiers /etc/default/ufw
 ## Kerberos 88tcp/udp
 /usr/sbin/ufw allow out  from 192.168.1.0/24 to 192.168.1.0/24 port 88
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 88
 ## End Point Mapper (DCE/RPC Locator Service) 135/tcp
 /usr/sbin/ufw allow out  proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 ## NetBIOS Name Service 137/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 ## NetBIOS Datagram 138/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 ## NetBIOS Session 139/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 ## LDAP 389/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 389
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 389
 ## SMB over TCP 445/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 ## Kerberos kpasswd 464/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 464
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 464
 ## LDAPS (TLS) 636/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 ## Dynamic RPC Ports 1024:1300/tcp
 ## ( The range matches the port range used by Windows Server 2008 and later. Samba versions before 4.7 used the TCP ports 1024 to 1300 instead )
 ##/usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 49152:65535
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 1024:1300
 ## Global Catalog 3268/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3268
 ## Global Catalog SSL 3269/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3269

 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Demarrage des services
 set_serviceStart
 ### Afficher les regles de parefeu (numérotées)
 set_view
}


############## 1/ PARAMS ##################
##### ne pas modifier #####################

parametre="${1}"

if [ "${parametre}" == "list" ]; then
  ## Afficher les regles de parefeu (numérotées)
  set_view
  exit 0
fi

if [ "${parametre}" == "log" ]; then
  ## Afficher les logs du parefeu
  /usr/bin/tail -f /var/log/ufw.log
  exit 0
fi

if [ "${parametre}" == "stop" ]; then
  ## Stopper parefeu : DANGEREUX !
  /usr/sbin/ufw disable
  exit 0
fi

if [ "${parametre}" == "start" ]; then
  ## Demarrer parefeu : RECOMMANDER !
  /usr/sbin/ufw enable
  exit 0
fi

if [ "${parametre}" == "defaut" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Autoriser trafic sortant
  set_defaut
  exit 0
fi

if [ "${parametre}" == "secure" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  set_serviceStop
  set_secure
  exit 0
fi

if [ "${parametre}" == "internet" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  set_internetSecure
  exit 0
fi

if [ "${parametre}" == "maison" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  set_Maison
  exit 0
fi


if [ "${parametre}" == "vpn" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## Autoriser OpenVPN
  set_internetVpn1
  exit 0
fi

if [ "${parametre}" == "public" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## Autorise mail securise SSL, 445, 995 en sortant
  set_internetPublic
  exit 0
fi

if [ "${parametre}" == "dev" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## Autorise mail securise SSL, 445, 995 en sortant
  ## autorise SSH port 22 en sortie
  ## autorise FTP en sortie
  ## autorise Samba
  set_internetDev
  exit 0
fi

if [ "${parametre}" == "samba" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## autorise SSH port 22 en sortie
  ## autorise Samba
  set_internetSamba
  exit 0
fi

if [ "${parametre}" == "help" -o "${parametre}" == "aide" ]; then
  echo "firewall secure (Interdire tout trafic entrant et sortant)"
  echo "firewall internet (Interdire tout trafic entrant et sortant sauf trafic Internet sortant 80,443,8006,8888 DNS udp 53)"
  echo "firewall vpn (internet + vpn + pfsense tcp 8888)"
  echo "firewall public (internet + mail)"
  echo "firewall maison (internet + mail + ssh)"
  echo "firewall samba (internet + SSH 22 + samba)"
  echo "firewall dev (internet + mail + SSH 22 + FTP 21 + samba)"
  echo "firewall defaut (Interdire tout trafic entrant, autoriser tout trafic sortant)"
  echo "firewall list (Liste des regles de parefeu)"
  echo "firewall (sans parametre : applique les regles définies)"


  exit 0
fi

################# 2/ MAIN ####################
##### ne pas modifier ########################

### Les regles s'appliquant à IPV6 sont désactivées
### sur le firewall puisque le noyau desactive tout trafic IPV6
### Modifier la ligne à : IPV6=no
### Puis sudo /env/firewall
cat /etc/default/ufw | grep "^IPV6"

### Le noyau pour desactiver l'IPV6
### /etc/sysctl.conf
### ajouter a la fin si necessaire
###    #disable ipv6
###    net.ipv6.conf.all.disable_ipv6 = 1
###    net.ipv6.conf.default.disable_ipv6 = 1
###    net.ipv6.conf.lo.disable_ipv6 = 1
cat /etc/sysctl.conf | grep "^net.ipv6.conf"

### autoriser les pings
### /etc/ufw/before.rules
###
###   # Autoriser les ping / ok icmp codes output
###   -A ufw-before-output -p icmp --icmp-type destination-unreachable -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type source-quench -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type time-exceeded -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type parameter-problem -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPT

### Nettoyage des sauvegardes des regles.
set_clean

### Reset du parefeu avec les regles par defaut.
### (echo "o" | /usr/sbin/ufw reset)
set_reset

### On bloque tout en entrant et sortant
/usr/sbin/ufw default deny incoming
/usr/sbin/ufw default deny outgoing

################################################
################# 3/ REGLES ACTIVES ############
################################################
##### modifier si necessaire avec prudence #####

set_serviceStop

### autoriser Internet en sortie
/usr/sbin/ufw allow out 80/tcp
/usr/sbin/ufw allow out 53/udp
/usr/sbin/ufw allow out 443/tcp
### pfsense
/usr/sbin/ufw allow out 8888/tcp
### hyperviseur
/usr/sbin/ufw allow out 8006/tcp
### autres
/usr/sbin/ufw allow out 8080/tcp
/usr/sbin/ufw allow out 8443/tcp
/usr/sbin/ufw allow out 5050/tcp

### autorise SSH port 22 en sortie
/usr/sbin/ufw allow out 22/tcp
#/usr/sbin/ufw allow out proto tcp from 192.168.0.13 to 192.168.1.102 port 22

### autorise SSH port 22 en ENTREE
### depuis 192.168.0.13 (backup)
#/usr/sbin/ufw allow in proto tcp from 192.168.0.13 to 192.168.1.102 port 22

### autorise RSYNC port 873
#/usr/sbin/ufw allow out 873/tcp
### vers et depuis 192.168.0.13 (backup)
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.13 port 873
#/usr/sbin/ufw allow in proto tcp from 192.168.0.13 to 192.168.1.102 port 873

### autorise DHCP en sortie depuis Machine Machin vers Pfsense 192.168.0.254
### SPT=68 depuis 192.168.1.102 vers DPT=67 192.168.0.254 en udp
#/usr/sbin/ufw allow out proto udp from 192.168.1.102 port 68 to 192.168.0.254 port 67

### Autoriser le Whois en sortie
/usr/sbin/ufw allow out 43/tcp

### Autoriser le port des clés publiques des dépôts de paquets logiciels de Launchpad en sortie
/usr/sbin/ufw allow out 11371/tcp

### autorise SAMBA 4
## Kerberos 88tcp/udp
#/usr/sbin/ufw allow out  from 192.168.1.102 to 192.168.0.1 port 88
#/usr/sbin/ufw allow in from 192.168.0.1 to 192.168.1.102 port 88
## nf_conntrack_netbios_ns présent dans PT_MODULES, fichiers /etc/default/ufw
## End Point Mapper (DCE/RPC Locator Service) 135/tcp
#/usr/sbin/ufw allow out  proto tcp from 192.168.1.102 to 192.168.0.1 port 135
#/usr/sbin/ufw allow in proto tcp from 192.168.0.1 to 192.168.1.102 port 135
## NetBIOS Name Service 137/udp
#/usr/sbin/ufw allow out proto udp from 192.168.1.102 to 192.168.1.0/24 port 137
#/usr/sbin/ufw allow in proto udp from 192.168.0.1 to 192.168.1.102 port 137
## NetBIOS Datagram 138/udp
#/usr/sbin/ufw allow out proto udp from 192.168.1.102 to 192.168.1.0/24 port 138
#/usr/sbin/ufw allow in proto udp from 192.168.1.102 to 192.168.0.1 port 138
## NetBIOS Session 139/tcp
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.1 port 139
#/usr/sbin/ufw allow in proto tcp from 192.168.0.1 to 192.168.1.102 port 139
## LDAP 389/tcp udp
#/usr/sbin/ufw allow out from 192.168.1.102 to 192.168.0.1 port 389
##/usr/sbin/ufw allow in from 192.168.0.1 to 192.168.1.102 port 389
## SMB over TCP 445/tcp
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.1 port 445
#/usr/sbin/ufw allow in proto tcp from 192.168.0.1 to 192.168.1.102 port 445

### PostGRESQL
## Acces a la BD depuis le poste de Machin
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.250 port 5432

### NE PAS DECOMMENTER. (juste pour info)
## Vnc Web Console
#/usr/sbin/ufw allow out 5900:5999/tcp
## Spice
#/usr/sbin/ufw allow out 3198/tcp
## rpcbind
#/usr/sbin/ufw allow out 111/tcp
## corosync multicast (if you run a cluster): 5404, 5405 UDP
#/usr/sbin/ufw allow out 5404/udp
#/usr/sbin/ufw allow out 5405/udp

################# 4/ EXECUTION ###############
##### ne pas modifier ########################

set_save
set_serviceStart
set_view

et voici le /etc/sysctl.conf

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
net.ipv4.conf.all.log_martians = 1
#
#disable ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

bruno

Bonjour,

Le mot de passe au niveau du bios n'est utile qu'en cas d'accès physique à la machine. Il ne fera que ralentir un peu l'attaquant puisque facile à faire sauter. La seule protection valable contre un accès physique est le chiffrement avec mots de passes solides.

rkhunter n'est pas à proprement parler un outil de sécurité, c'est un outil d'analyse post-mortem (bis repetita). Cet outil n'a rien à faire sur une machine de bureau.

Le pare-feu est très généralement inutile sur une machine isolée (vieux débat…)

Ton /etc/sysctl.conf est une « recette » pour ton usage personnel. Tout le monde n'a pas besoin ou envie de désactiver l'IPv6 par exemple ! De plus ce type de configuration se fait sous /etc/sysctl.d/ et on dans le fichier sysctl.conf.

bazzanella

bruno a écritBonjour,

Le mot de passe au niveau du bios n'est utile qu'en cas d'accès physique à la machine. Il ne fera que ralentir un peu l'attaquant puisque facile à faire sauter.

Bonsoir Bruno.
https://www.youtube.com/watch?v=XpJT-nj4nss

bruno

Quelle rapport entre cette vidéo et le mot de passe du bios ?

bazzanella

bruno a écritQuelle rapport entre cette vidéo et le mot de passe du bios ?

C'est une démonstration d'un root kit BIOS EUFI

Il faut donc pour s'en préserver :
S'assurer que UEFI SecureFlash est activé
Mettre à jour le BIOS chaque fois qu'il existe un correctif de sécurité
Configurer un mot de passe BIOS ou UEFI

bruno

Une ressource textuelle fiable ?
Comment est installé ce rootkit et où s'installe-t-il ?

bazzanella

bruno a écritUne ressource textuelle fiable ?
Comment est installé ce rootkit et où s'installe-t-il ?

Comme cité dans mon premier message de ce fil : https://translate.google.com/translate?hl=fr&sl=en&u=https://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/&prev=search

bruno

Oui ce genre de rootkit dans les BIOS est connu depuis longtemps (parfois même installés par les constructeurs).

Mais pour l'installer il faut avoir eu un accès physique à la machine (ou à la limite un accès root à distance). De plus la démonstration que tu cites fonctionne sous Windows et exploite des failles Windows.

Les problèmes de sécurité Windows ce n'est pas le sujet ici.

« Page précédente