Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Un question sur la sécurité d'un serveur

devphp

Bonjour,

Aillant été la victime (ou pas) de différents petit malin, j'ai regardé mes logs et vérifié les ports ouvert.

En interne :
-> nmap -sS localhost

1/tcp     open  tcpmux
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
79/tcp    open  finger
80/tcp    open  http
110/tcp   open  pop3
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  callbook
3306/tcp  open  mysql
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

depuis mon bureau:
-> nmap -sS mon-ip

PORT    STATE  SERVICE
20/tcp  closed ftp-data
21/tcp  open   ftp
22/tcp  open   ssh
53/tcp  closed domain
80/tcp  open   http
110/tcp open   pop3
143/tcp open   imap

Déjà la il y a quelques chose qui cloche. "31337/tcp open Elite" semble être un keylogger et tout les ports au dessus de 143 "devrai être fermer" d'après mon firewall maison.

Admettons que tout cela soit normal, comment se fait t'il que tout les 10 minutes, un e-mail est envoyé depuis ma machine (serveur) vers un de mes concurrent ??? Ou est donc l'instruction qui envois se drôle de mail rébarbatif ? Du keylogger ?

Annexe:
Firewall

-> iptables -L

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:ftp-data:ftp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere            limit: avg 1/sec burst 5 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:ftp-data:ftp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp 

Chain fail2ban-ssh (0 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

Utilitaire:

rkhunter
fail2ban
portsentry
logwatch

Voila, j'espère que mon brief l'était et qu'il vous aidera à m'aidé

PS: Recherche prestataire pour configuration Cisco ASA 5505

Haleth

netstat -ap | grep 31337

T'as le PID en premiere colonne, regarde à quel fichier il correspond

Pour ton iptables, j'te conseille un truc comme ceci:

iptables -F
iptables -X
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Pour finir, d'après wiki, c'est un "virus" pour m$, fait en 1998
Opensource, tu peux avoir le code sur sourceforge
Bref, c'est rigolo

devphp

ok netstat me repond

tcp        0      0 *:31337                 *:*                     LISTEN      975/portsentry  
udp        0      0 *:31337                 *:*                                 979/portsentry

donc je suis parano ^^

Concernant ton iptables, je vais traduire avec man ;-)

Après avoir lu man...
iptables -A donc un ajout de rien
iptables -X supprime

et la j'accepte tout ?
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

ou j'ai rien compris 😃

Haleth

devphp a écritok netstat me repond

tcp        0      0 *:31337                 *:*                     LISTEN      975/portsentry  
udp        0      0 *:31337                 *:*                                 979/portsentry

Hm
Essaye de trouver le fichier avec find:

find / -name "*Elite*"

Après avoir lu man...
iptables -A donc un ajout de rien
iptables -X supprime

et la j'accepte tout ?
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Bawé, c'est le but, iptables ne t'est d'aucune aide

devphp

find / -name "*Elite*" ne trouve rien de concluant, juste /usr/share/terminfo/c/citoh-elite qui fais parti de la distrib.
Je pense donc, que si attaque il y a eu, elle a conclut a un échec ^^

Je vais donc continué de surveiller mes logs et essayé de trouvé pourquoi cette e-mail continue a être envoyé...

Sujet à suivre...

Jhak

Si ton serv est backdoor ce sera sur le port 1524 je pense. Ce port devrait etre filtrer. Essaye voir un telnet ipdetonserveur 1524 puis une fois connecté tape id 🙂)