Pages : 1
#1 Le 15/07/2012, à 11:21
- devphp
Un question sur la sécurité d'un serveur
Bonjour,
Aillant été la victime (ou pas) de différents petit malin, j'ai regardé mes logs et vérifié les ports ouvert.
En interne :
-> nmap -sS localhost
1/tcp open tcpmux
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
79/tcp open finger
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
3306/tcp open mysql
6667/tcp open irc
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
depuis mon bureau:
-> nmap -sS mon-ip
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
53/tcp closed domain
80/tcp open http
110/tcp open pop3
143/tcp open imapDéjà la il y a quelques chose qui cloche. "31337/tcp open Elite" semble être un keylogger et tout les ports au dessus de 143 "devrai être fermer" d'après mon firewall maison.
Admettons que tout cela soit normal, comment se fait t'il que tout les 10 minutes, un e-mail est envoyé depuis ma machine (serveur) vers un de mes concurrent ??? Ou est donc l'instruction qui envois se drôle de mail rébarbatif ? Du keylogger ?
Annexe:
Firewall
-> iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT udp -- anywhere anywhere limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT udp -- anywhere anywhere udp dpt:ntp
Chain fail2ban-ssh (0 references)
target prot opt source destination
RETURN all -- anywhere anywhereUtilitaire:
rkhunter
fail2ban
portsentry
logwatchVoila, j'espère que mon brief l'était et qu'il vous aidera à m'aidé
PS: Recherche prestataire pour configuration Cisco ASA 5505
Ubuntu 12.04 (Xfce) 64bits
Intel® Core™ i5 CPU M 520 @ 2.40GHz × 4
Priorité à la prévention, faite des back-up fréquent.
Hors ligne
#2 Le 15/07/2012, à 11:30
- Haleth
Re : Un question sur la sécurité d'un serveur
netstat -ap | grep 31337T'as le PID en premiere colonne, regarde à quel fichier il correspond
Pour ton iptables, j'te conseille un truc comme ceci:
iptables -F
iptables -X
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPTPour finir, d'après wiki, c'est un "virus" pour m$, fait en 1998
Opensource, tu peux avoir le code sur sourceforge
Bref, c'est rigolo
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#3 Le 15/07/2012, à 11:32
- devphp
Re : Un question sur la sécurité d'un serveur
ok netstat me repond
tcp 0 0 *:31337 *:* LISTEN 975/portsentry
udp 0 0 *:31337 *:* 979/portsentry donc je suis parano ^^
Concernant ton iptables, je vais traduire avec man ;-)
Après avoir lu man...
iptables -A donc un ajout de rien
iptables -X supprime
et la j'accepte tout ?
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
ou j'ai rien compris 
Dernière modification par devphp (Le 15/07/2012, à 11:38)
Ubuntu 12.04 (Xfce) 64bits
Intel® Core™ i5 CPU M 520 @ 2.40GHz × 4
Priorité à la prévention, faite des back-up fréquent.
Hors ligne
#4 Le 15/07/2012, à 12:32
- Haleth
Re : Un question sur la sécurité d'un serveur
ok netstat me repond
tcp 0 0 *:31337 *:* LISTEN 975/portsentry udp 0 0 *:31337 *:* 979/portsentry
Hm
Essaye de trouver le fichier avec find:
find / -name "*Elite*"Après avoir lu man...
iptables -A donc un ajout de rien
iptables -X supprimeet la j'accepte tout ?
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
Bawé, c'est le but, iptables ne t'est d'aucune aide
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#5 Le 15/07/2012, à 12:47
- devphp
Re : Un question sur la sécurité d'un serveur
find / -name "*Elite*" ne trouve rien de concluant, juste /usr/share/terminfo/c/citoh-elite qui fais parti de la distrib.
Je pense donc, que si attaque il y a eu, elle a conclut a un échec ^^
Je vais donc continué de surveiller mes logs et essayé de trouvé pourquoi cette e-mail continue a être envoyé...
Sujet à suivre...
Ubuntu 12.04 (Xfce) 64bits
Intel® Core™ i5 CPU M 520 @ 2.40GHz × 4
Priorité à la prévention, faite des back-up fréquent.
Hors ligne
#6 Le 26/07/2012, à 08:45
- Jhak
Re : Un question sur la sécurité d'un serveur
Si ton serv est backdoor ce sera sur le port 1524 je pense. Ce port devrait etre filtrer. Essaye voir un telnet ipdetonserveur 1524 puis une fois connecté tape id 
)
Hors ligne
Pages : 1