Ubuntu-fr

khaledparis

[Hacking] sentbyte = 600000

Bonjour.

Je suis en train d'étudier un fichier de logs où l'IP 192.168.1.1 reçoit des requêtes de différentes IPs sur le port destination 80 et répond par accept ou deny. Dans toutes ces requêtes la quantité de données transitant entre les machines est faible : de quelques centaines à 4000 bytes maximum.

Il y a un seul qui m'intrigue où l'IP 192.168.1.1 joue le rôle du client et envoi une requête sur le port 80 de l'IP 185.83.145.120 qui lui répond avec l'envoi de 600000 bytes!

<189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129415 srcip=192.168.1.1 srcport=49321 dstip=185.83.145.120 dstport=80 proto=6 action="accept" sentbyte=712
 
<189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129416 srcip=185.83.145.120 srcport=80 dstip=192.168.1.1 dstport=49321 proto=6 action="accept" sentbyte=628123

Le bout du log que j'ai est limité sur une heure et je ne sais pas si dans le passé il y a eu une connexion entre les deux IPs!

La quantité de données reçue par 192.168.1.1 est immense comparé à ce qui y transite d'habitude (au moins 150 fois plus) et puis voir cette IP se connecter à une machine externe m'intrigue...

Auriez-vous une explication possible svp ?

En vous remerciant d'avance.

Mr pif

Re : [Hacking] sentbyte = 600000

bonjour,

192.168.1.1 est ta box
185.83.145.120 est l’hébergeur Corelux en Turquie

un peu de lecture :

https://www.cyberciti.biz/faq/find-linu … 0-command/

tu as déjà posé la question là :
https://forum.fortinet.com/tm.aspx?m=185405

et là :
https://openclassrooms.com/forum/sujet/ … yte-600000

et tu y as reçu des réponses

bonne soirée

Watael

Re : [Hacking] sentbyte = 600000

sur Développez.net aussi

---

Connected \o/
Welcome to sHell. · eval is evil.

bruno

Re : [Hacking] sentbyte = 600000

Bonjour,

Quelle est la version d'Ubuntu utilisée ?

Pour le peu que montrent ces ligne il n'y a aucun « Hacking » (terme très mal choisi) mais juste une connexion d'une machine du réseau local 192.168.1.1 à un site web hébergé chez Corelux (185.83.145.120).

ERenon

Re : [Hacking] sentbyte = 600000

Pour le peu que montrent ces ligne il n'y a aucun « Hacking » (terme très mal choisi) mais juste une connexion d'une machine du réseau local 192.168.1.1 à un site web hébergé chez Corelux (185.83.145.120).

Bonjour,

Si le PC en question n'a rien demandé à Corelux, et si ce site n'a rien à voir avec une entreprise de télécommunications ( problème DNS éventuel ), on ne peut pas dire " Pour le peu que montrent ces ligne il n'y a aucun « Hacking » ".

ERenon

Re : [Hacking] sentbyte = 600000

corelux.net est un site turc qui ne semble pas très catholique, mais pas pour autant virusé d'après virustotal.

Vider les caches des naigateurs, et les fichiers temporaires dans Ubuntu.

Installer UFW sur les PC pour voir.

Dernière modification par ERenon (Le 03/05/2020, à 11:26)

bruno

Re : [Hacking] sentbyte = 600000

Corelux est un hébergeur, il n'y a à priori rien d'anormal à ce qu'une connexion vers un site web hébergé chez eux soit établie.
Et je rappelle que sous Ubuntu, les virus on ne connaît pas.
L'utilisation du parer-feu est superflue.

ERenon

Re : [Hacking] sentbyte = 600000

Corelux est un hébergeur, il n'y a à priori rien d'anormal à ce qu'une connexion vers un site web hébergé chez eux soit établie.
Et je rappelle que sous Ubuntu, les virus on ne connaît pas.
L'utilisation du parer-feu est superflue.

Un " hébergeur " n'a pas à envoyer de connexion entrante, et ça semble être le cas d'après l'intervenant.

Quant au discours " pas de virus, pas besoin de pare feu sous Linux ", c'est du discours de barbu, je sais, je suis un troll, mais un troll qui sait ce qu'est un journal de Wireshark, pas obligatoirement le cas de tous les barbus.

Dernière modification par ERenon (Le 03/05/2020, à 11:43)

bruno

Re : [Hacking] sentbyte = 600000

Il faut réviser tes cours sur les réseaux
Une connexion est initiée, première ligne, de la machine locale (port aléatoire non privilégié) vers un site web (port 80) :

srcip=192.168.1.1 srcport=49321 dstip=185.83.145.120 dstport=80

Les serveur web envoie les données, seconde ligne :

srcip=185.83.145.120 srcport=80 dstip=192.168.1.1 dstport=49321

Rien de plus normal.

ERenon

Re : [Hacking] sentbyte = 600000

« où l'IP 192.168.1.1 reçoit des requêtes de différentes IPs sur le port destination 80 et répond par accept ou deny »

Clair, sauf pour quelqu’un dont le but premier est de prouver que « Linux, pas de virus et pas besoin de pare feu ».

Et si la box répond par accept, c’est bien une connexion entrante, et corelux n’est pas clair.

UFW à installer sur les PC clients, et pare feu box à vérifier ( UPnP, DMZ, NAT PAT, connexion à distance ).

A part ça, Linux PC reste toujours et depuis longtemps à 1 % de parts de marché, et toujours à cause des mêmes comportements, et pas uniquement de Windows ou des vendeurs de PC, le parc Linux «  serveurs » on s’en tape, c’est gratuit et moins compliqué à concevoir.

Seul élément positif, le nombre de barbus de ce site semble avoir diminué, mais encore un qui bouge.

Dernière modification par ERenon (Le 03/05/2020, à 13:04)

Watael

Re : [Hacking] sentbyte = 600000

qu'est censé faire ufw si la connexion externe fait suite à une requête du poste client surveillé (192.168.1.1) ?
d'ailleurs, que sait-on de la nature de cette requête ?

---

Connected \o/
Welcome to sHell. · eval is evil.

bruno

Re : [Hacking] sentbyte = 600000

« où l'IP 192.168.1.1 reçoit des requêtes de différentes IPs sur le port destination 80 et répond par accept ou deny ».

Décidément tu ne sais pas lire les logs. Je reprend pour la dernière fois :
Où vois-tu que 192.168.1.1 reçoit des requêtes sur le port 80 ?
Nulle part.
192.168.1.1 reçoit des données, qu'elle a demandé, sur le port 49321

@Watael : on se le demande bien
En l’absence d'autres informations cet extrait de log montre quelque chose, à priori, de tout à fait normal.