Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 29/05/2017, à 10:43

maaxime

[Résolu] Trafic anormal sur port 445

Bonjour,

D’abords je souhaite remercier toutes les personnes qui font un super travail sur ce forum car depuis que j'utilise ubuntu, maintenant 1,5 ans, j'ai toujours trouvé les réponses à mes questions sans avoir à poser le moindre post !!
Je rencontre une chose bizarre sur mon PC et je n'ai pas trouvé de similitude sur internet : Depuis quelques temps, je vois apparaître un trafic réseau important généré par mon PC sans raison apparente. Le moniteur réseau de xubuntu affiche une trafic de 8Mbits/s alors que je ne fait rien !!!
J'ai lancer un TCPDump et j'ai ceci qui s'affiche :

11:07:24.371028 IP xxx(Nom Serveur1).microsoft-ds > xxx(IP local).39162: Flags [R.], seq 1, ack 43, win 0, length 0
11:07:24.371034 IP xxx(Nom Serveur2).microsoft-ds > xxx(IP local).58974: Flags [R.], seq 1, ack 43, win 0, length 0
11:07:24.371043 IP xxx(IP local).39166 > xxx(Nom Serveur1).microsoft-ds: Flags [S], seq 3061734241, win 29200, options [mss 1460,sackOK,TS val 729547 ecr 0,nop,wscale 7], length 0
11:07:24.371045 IP xxx(IP local).58988 > xxx(Nom Serveur2).microsoft-ds: Flags [S], seq 1278535755, win 29200, options [mss 1460,sackOK,TS val 729547 ecr 0,nop,wscale 7], length 0
11:07:24.371223 IP xxx(Nom Serveur1).microsoft-ds > xxx(IP local).39166: Flags [S.], seq 3730715768, ack 3061734242, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 21575415 ecr 729547], length 0
11:07:24.371233 IP xxx(IP local).39166 > xxx(Nom Serveur1).microsoft-ds: Flags [.], ack 1, win 229, options [nop,nop,TS val 729547 ecr 21575415], length 0
11:07:24.371244 IP xxx(IP local).39166 > xxx(Nom Serveur1).microsoft-ds: Flags [P.], seq 1:43, ack 1, win 229, options [nop,nop,TS val 729547 ecr 21575415], length 42 SMB PACKET: SMBecho (REQUEST)

11:07:24.371642 IP xxx(Nom Serveur2).microsoft-ds > xxx(IP local).58978: Flags [R.], seq 1, ack 43, win 0, length 0
11:07:24.371665 IP xxx(IP local).58990 > xxx(Nom Serveur2).microsoft-ds: Flags [S], seq 1324063174, win 29200, options [mss 1460,sackOK,TS val 729548 ecr 0,nop,wscale 7], length 0
11:07:24.371697 IP xxx(Nom Serveur2).microsoft-ds > xxx(IP local).58984: Flags [S.], seq 3055554388, ack 3163040369, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 21604036 ecr 729547], length 0
11:07:24.371707 IP xxx(IP local).58984 > xxx(Nom Serveur2).microsoft-ds: Flags [.], ack 1, win 229, options [nop,nop,TS val 729548 ecr 21604036], length 0
11:07:24.371717 IP xxx(IP local).58984 > xxx(Nom Serveur2).microsoft-ds: Flags [P.], seq 1:43, ack 1, win 229, options [nop,nop,TS val 729548 ecr 21604036], length 42 SMB PACKET: SMBecho (REQUEST)

Les adresses des serveurs sont locales au réseau (pas des adresses internet).
Cela n’apparaît que quand je me connecte sur le réseau d'un client. Je n'ai pas ce genre de chose chez moi. J'utilise des lecteurs réseau chez ce client sur justement ces 2 serveurs. J'utilise la méthode cifs pour me connecter aux lecteurs en configurant le fichier /etc/fstab. Je n'avais pas de problème auparavant (+d'un an sans soucis). Le seul truc que j'ai trouvé pour calmer le tout est de paramétrer le firewall en bloquant le port 445. Mais forcément l'accès aux lecteurs réseau devient problématique.
Quelqu'un à a une idée du pourquoi ? Je ne voudrais pas me faire accuser de polluer leur réseau.

Pour info : je suis sous Xubuntu 16.04.

Dernière modification par maaxime (Le 27/06/2017, à 14:28)

Hors ligne

#2 Le 29/05/2017, à 16:30

maaxime

Re : [Résolu] Trafic anormal sur port 445

J'ai fouillé sur le forum et j'ai trouvé un truc sympa : utiliser un script pour monter un démonter les lecteurs réseau via un service. Je démarre et j'arrête ce service à la demande. Ce post
Ça ne corrige pas le pb mais ça me permet d’accélérer le démarrage et l'arrêt du PC. De plus je ne monte les partages que quand j'en ai besoin. Un petit lien dans le tableau de bord avec une jolie icône est ça fait un truc trop cool !!  Je kiff ubuntu. cool

Pour revenir au pb de base, du coup je me suis aperçu que ce trafic s'arrête dès que je démonte les lecteurs réseau. Il ne reprend pas forcément de suite, je n'ai pas trouvé l’événement qui le fait démarrer.

Hors ligne

#3 Le 29/05/2017, à 17:19

Brunod

Re : [Résolu] Trafic anormal sur port 445

Ce n'est pas une action d'un virus (cryptolock?) qui aurait infecté le windows de ton client et qui vient chipoter sur tes disques partagés sur le réseau lorsqu'ils sont connectés ?
Au mieux, il pourrait s'agir d'un scan antivirus effectué par le réseau de ton client à la connexion...

Dernière modification par Brunod (Le 29/05/2017, à 17:23)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#4 Le 29/05/2017, à 18:00

Compte anonymisé

Re : [Résolu] Trafic anormal sur port 445

Pour mieux vérifier son réseau que tcpdump :

sudo watch -n 6 "netstat -putal"

#5 Le 30/05/2017, à 20:51

maaxime

Re : [Résolu] Trafic anormal sur port 445

Brunod : je me suis posé la question car je me suis rendu compte du pb le vendredi de sortie du wanaCry. Après les serveurs ont changé il n'y a pas longtemps chez mon client et il se peut que ce soit une coïncidence que je me soit aperçu de ça ce jour là. Surtout que je n'ai eu vent d'aucun pb de leur côté.

Jojo81 : voici le netstat -lapute ce que tu as demandé (lapute c'est plus facile à retenir...). Je ne connaissait pas la commande watch, elle est géniale !!!

Commande en cours mais sans pb de trafic réseau :

Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       User       Inode       PID/Program name
tcp        0      0 localhost:mysql         *:*                     LISTEN      mysql      20270       1183/mysqld
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      root       22412       1737/smbd
tcp        0      0 MONPC.DOM:domain *:*                     LISTEN      root       21859       1437/dnsmasq
tcp        0      0 localhost:ipp           *:*                     LISTEN      root       4692932     16336/cupsd
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      root       22411       1737/smbd
tcp        0      0 xxx(mon ip):60452     SERVEUR1:microsoft-ds ESTABLISHED root       4669414     -
tcp        0      0 xxx(mon ip):42608     SERVEUR3:microsoft-ds ESTABLISHED root       4695254     -
tcp        0      0 xxx(mon ip):51138     SERVEUR2:microsoft-ds ESTABLISHED root       4650562     -
tcp6       0      0 [::]:netbios-ssn        [::]:*                  LISTEN      root       22410       1737/smbd
tcp6       0      0 [::]:http               [::]:*                  LISTEN      root       23940       1688/apache2
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN      root       4692931     16336/cupsd
tcp6       0      0 [::]:microsoft-ds       [::]:*                  LISTEN      root       22409       1737/smbd
udp        0      0 *:52894                 *:*                                 avahi      17508       970/avahi-daemon: r
udp        0      0 *:mdns                  *:*                                 avahi      17506       970/avahi-daemon: r
udp        0      0 *:46666                 *:*                                 nobody     4488402     1437/dnsmasq
udp        0      0 MONPC.DOM:domain *:*                                 root       21858       1437/dnsmasq
udp        0      0 *:bootpc                *:*                                 root       4482522     9531/dhclient
udp        0      0 *:ipp                   *:*                                 root       28874       2673/cups-browsed
udp6       0      0 [::]:mdns               [::]:*                              avahi      17507       970/avahi-daemon: r
udp6       0      0 [::]:39546              [::]:*                              avahi      17509       970/avahi-daemon: r

Quand le trafic réseau commence à déconner le netstat donne la même chose sauf pour les trois lignes :

tcp        0      0 xxx(mon ip):60452     SERVEUR1:microsoft-ds ESTABLISHED root       4669414     -
tcp        0      0 xxx(mon ip):42608     SERVEUR3:microsoft-ds ESTABLISHED root       4695254     -
tcp        0      0 xxx(mon ip):51138     SERVEUR2:microsoft-ds ESTABLISHED root       4650562     -

Sur ces 3 lignes, la valeur dans la colonne Send-Q varie à chaque fois et passe des valeurs 0, 1 à 42.
Les numéros de ports local utilisé change aussi à chaque fois, ainsi que les Inode.

Je ne suis pas spécialiste mais on a l'impression d'un virus qui se lance, ouvre une connexion, balance ça trame, puis se relance dans un autre thread/PID et ceux jusqu'à ce que mort s'en suive......
Ce qui m’inquiète c'est que je n'ai pas trouvé de solution pour connaître le nom de l'appli qui est derrière ni même son PID.
Après cela ne perturbe pas mon accès aux fichiers des serveurs. C'est peu être un bug de samba ? Mais je n'ai rien trouvé dessus sur le web.

Hors ligne

#6 Le 31/05/2017, à 04:44

Barnabé2

Re : [Résolu] Trafic anormal sur port 445

Salut,


udp        0      0 *:mdns                  *:*                                 avahi      17506       970/avahi-daemon: r
udp6       0      0 [::]:mdns               [::]:* avahi      17507       970/avahi-daemon: r

tcp        0      0 *:microsoft-ds          *:*                    LISTEN      root       22411       1737/smbd

Ubuntu par défaut a le service avahi activé, comme Windows sauf W10, avahi c’est comme mdns, bonjour d’Apple ou zeroconf (iguration ), tout ça utilise le port 5353 et est connu comme assez dangereux, sur ton PC on voit sur netstat que le daemon avahi est en écoute vers « tous ceux que ça intéresse… » ( adresse distante *:* ) en UDP.


Pareil pour le port 445 ( utilisé par Wannacry ) de Samba en écoute en TCP.
Un netstat -uta aurait montré les ports, tout ça n'est pas forcément dangereux, il faudrait voir ce qui passe ou pas sur Wireshark, le réseau entre Linux et Windows ne répond pas toujours comme il devrait le faire.

tcp        0      0 xxx(mon ip):51138     SERVEUR2:microsoft-ds ESTABLISHED root       4650562     -

La connexion est établie, mais peut être que les paquets ne passent pas, ce n'est pas obligatoire, et que tu n'as qu'un échange de " poignées de main " ( syn - syn ack - ack ) en boucle.

Dernière modification par Barnabé2 (Le 31/05/2017, à 09:26)


Ubuntu 16.04 LTS

Hors ligne

#7 Le 31/05/2017, à 18:28

Compte anonymisé

Re : [Résolu] Trafic anormal sur port 445

maaxime a écrit :

voici le netstat -lapute ce que tu as demandé (lapute c'est plus facile à retenir...).

wink
Sauf qu'il n'y avait pas de 'e' dans les options de la commande.

Pense plutôt à 'futal' pout -putal wink

#8 Le 01/06/2017, à 18:43

maaxime

Re : [Résolu] Trafic anormal sur port 445

Jojo81 : Ok, "futal" ça peut le faire pour ma petite mémoire même elle a un faible pour "lapute" !! big_smile


Barnabé2 : J'ai donc fait un scan avec wireshark en filtrant sur le protocole smb. Il y a dont une tripoté de "SMB Echo Request" a n'en plus finir qu'envoi mon PC aux serveurs smb. Et quand ca démarre ça ne s'arrête plus !!!
J'ai fait des recherches et j'ai cru comprendre que ça peut venir d'un bug de la version présent dans la version du noyau.

J'ai trouvé on the web un sujet qui ressemble beaucoup à mon problème : ici
J'ai donc xubuntu 16.04 avec la version du noyau : 4.4.0-78-generic
Apparemment le bug est corrigé mais je n'arrive pas à comprendre qu'elle version du noyau cela concerne et comment mettre à jour pour bénéficier de cette correction. Quelqu'un peu m'expliquer ?
Merci

Hors ligne

#9 Le 27/06/2017, à 14:26

maaxime

Re : [Résolu] Trafic anormal sur port 445

Le noyau est passé en version 4.4.0-79 et le problème est résolu.
Merci à vous.

Hors ligne