Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Intrusion sur mon réseau ?

sowilo

Bonjours,
Tout à l'heure en en regardant le fichier .bash_history de Root, je suis tombé sur ces lignes qui mon intrigué:

nmap -sS 127.X.X.X
nmap -F -n -sS 127.X.X.X
nmap -sU 127.X.X.X
nmap -sP 127.X.X.X
nmap 192.168.X-XXX
nmap -O 127.X.X.X
nmap -p 80 127.X.X.X
nmap -v -sS -iR 0 -p 80

[center](J'ai mis des X à la place des chiffres qui sont peut être confidentiel)[/center]
Ce qui m'intrique c'est que je n'ais jamais tapé ces commandes dans un terminal, donc je me demandais si quelqu'un essaye de s'introduire sur mon réseau, si oui, comment sécuriser correctement mon réseau ?

Merci.

gilbert_16

Bonjour,

S'il s'agit bien du .bash_history de root, que tu n'as jamais rentré ces commandes et que personne d'autre que toi n'est censé se connecter en root sur ton PC, je te conseille déjà de changer ton mot de passe root, et d'en choisir un avec un haut niveau de sécurité.

Sinon pour sécuriser ton réseau, jette donc un coup d’œil par ici.

En espérant que cela te soit utile.

sowilo

Merci pour le lien, je vais y jeter un coup d'oeil.
Effectivement je n'est jamais rentré ces commandes, je ne sais pas se qu'elle sont sensé faire mais je sais que nmap est un logiciel pour sniffer le réseau donc quand j'ai vu ces commandes je me suis un peu inquiété, d’ailleurs a quoi servent ces commandes?

gilbert_16

Personnellement, j'utilise nmap pour faire des scans de ports pour tester le pare-feu de mon serveur. Il peut aussi être utilisé par des hackers pour chercher une faille de sécurité sur un ordinateur.

sowilo

ok merci, je viens d'installer un pare-feu par précaution.

Baronsed

Hem ré-installer, plutôt, non ? L'attaquant a probablement laissé une backdoor pour pouvoir s'introduire plus tard même si tu changes ton mot de passe (ne serait-ce qu'un exécutable corrompu parmi les programmes normaux). Trop de choses à vérifier => ré-installation.

sowilo

Oui je pense aussi que c'est plus prudent.
Je vais aussi en profité pour migré sur Fedora, Unity c'est pas trop mon truc...
Donc je vais attendre 1 semaine que Fedora 17 sorte, et je sécuriserais mon réseau directement après l'install 😃

Merci a tous pour vos conseils 🙂

Baronsed

Il y a aussi Xubuntu (cf. Voyager), dont j'entends parler de plus en plus à cause de Unity, mais aussi Mate, un fork de Gnome 2.

Sowilo a écritDonc je vais attendre 1 semaine...

Ne fais pas de choses importantes d'ici là... comme connecter d'autres appareils (clef usb, disque dur), par exemple ;-)

sowilo

Oui j'aime bien XFCE mais j'ai tout de même envi de tester gnome-shell, la version 3.4 a l'air d'être bien sympa,
Fedora intègre cet environnement par défaut, et sa fait pas mal de temps que j'ai envi de changer de distro, je trouve qu'Ubuntu devient de plus en plus une usine a gaz au fil des versions...
Donc pendant 1 semaine je ferait attention a ce que je fais sur mon PC 😛

mangue

Salut,

En gros ces scans servent a :

sowilo a écrit

nmap -sS 127.X.X.X => SYN scan du localhost pour voir les ports bloques en output
nmap -F -n -sS 127.X.X.X => SYN scan des ports du localhost, mais seulement ceux du fichiers "services" de nmap.
nmap -sU 127.X.X.X => Scan des ports UDP du localhost
nmap -sP 127.X.X.X => Ping scan du localhost
nmap 192.168.X-XXX => Scan TCP des ports des hotes de ton reseau local
nmap -O 127.X.X.X => Detection de l'OS du localhost
nmap -p 80 127.X.X.X => Scan du port 80 (http) du localhost, voir s'il est ouvert
nmap -v -sS -iR 0 -p 80 = > Scan aleatoire en mode verbose sur le port 80 uniquement. Ce scan ne s'arrete jamais.

En gros, ta machine sert de "zombie" pour scanner des servers http aleatoirement sur le net.
le SYN scan requiert d'avoir l'acces root pour le lancer.

Comme conseille plutot, change ton mot de passe root tres rapidement (si tu le peux encore), et execute :
nmap localhost
Les resultats, t'indiqueront si tu as un ports ouverts (probablement le backdoor) servant a la personne qui t'a hacke ton serveur de se reconnecter et recuperer les informations de son scan vers internet.

Si le hacker n'a pas supprimer l'historique, il se peut qu'il n'est pas non plus supprime ses traces dans les fichiers de log. Verifie les (/var/log/(auth.log|syslog|ect...))
Avec un peu de chance tu pourras retrouver son adresse IP.

Fais ensuite un
whois -B (pour le -B, j'ai un doute, si on peut confirmer) sur cette adresse IP et tu obtiendras toutes les informations du fournisseurs de cette adresses. notament une adresse mail abuse@kelkechose a laquelle tu peux te plaindre du hacking de ton serveur depuis l'IP que tu as trouve.
Il se peut que sa connexion soit fermee, et tu seras a nouveau serein. Ca m'est deja arrive deux ou trois fois pour des tentatives de compromission, et les reponses sont tres rapides.

Il y a une page nommee "Mon serveur est compromis, que faire ?" dans la doc ubuntu de ce site, sinon tu peux lire un article qui regroupe les memes informations ici :
mon serveur a ete hacke, que faire ?

Voilou, bon courage !

Baronsed

@mangue : à voir ces détails ici (merci :-)), tu sembles en savoir plus que moi. Néanmoins (par le simple bon sens) : est ce que l'attaquant, ayant eu les droits root, n'aurait pas pu remplacer certains exécutables critiques (en particulier le fameux nmap) par des versions corrompues qui se comportent exactement pareil, sauf pour les détails modifiés (un nmap qui répond que tel port ouvert est fermé, par exemple) ?

mangue

Je dirais que oui, il "aurait" du modifier les executables.

Mais en meme temps, je me dis que s'il n'a pas supprime les entrees de l'historique, avec un peu de chance c'est un "amateur", sous entendu hacker peridiodique, comme nous le sommes souvent. Cela laisse une chance que chkrootkit et rkhunter puisse assainir le systeme sans avoir a tout reinstaller, surtout sans backup. Ces deux applications compare les fichiers critiques et remontent s'ils ont ete modifies ou non.

De mon point de vue, si l'auteur du post souhaite installer un nouvel OS d'ici quelques jours, je pense que limiter l'utilisation de son serveur par un tiers est juste le strict minimum, donc changer de mot de passe root.
Par contre, ce que je trouve surprenant, c'est qu'il ne redirige pas son dernier scan vers un fichier, du coup peut etre faire un :
alias nmap
voir s'il n'y a pas une cible.
Dans tous les cas, je suis d'accord qu'il est dangereux de garder un serveur comrompu, mais c'est formateur 🙂

Baronsed

Merci pour ces détails :-)

sowilo

Merci a toi Mangue pour tous ces détails. 😃
Je viens de regarder tous les fichiers de log mais je n'y est pas trouvé d'adresse ip ou de trucs louches.
Et voici le résultat de la commande:

[root@inspiron ~]# nmap localhost

Starting Nmap 5.51 ( http://nmap.org ) at 2012-05-17 14:32 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000019s latency).
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 997 closed ports
PORT    STATE SERVICE
25/tcp  open  smtp
111/tcp open  rpcbind
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds

Rien de particulier à signaler ?

mangue

les 3 ports sont utilisés naturellement par le serveur.

As-tu vérifié que tu pouvais changer ton password root finalement ?

Pour la backdoor, il peut utiliser 'netcat' et ouvrir une session sur ton pc à la demande, donc n'hésite pas à installer CHKROOTKIT et RKHUNTER dont je parlais plus haut.

sowilo

Oui j'ai changé le password root, j'ai aussi installé CHKROOTKIT et RKHUNTER qui n'on rien détecté d'anormal.