erdelam Posté(e) le 27 octobre 2006 Partager Posté(e) le 27 octobre 2006 Ce forum est l'heureux élu qui va recevoir ma première question Linux J'utilise Mandrake 9.1, utilisé comme firewall-NAT depuis 15 jours. Je connais un peu tcpip et trés mal Linux. /var/log/messages m'indique un nombre important de tentatives de connexion (~1 toutes les 5 secondes) sur le port tcp 6666. Grâce à shorewall je REJECT. Ma question est : Qu'ai-je fait pour mériter cela ? Plus si affinités :) Merci, Erdelam Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 28 octobre 2006 Partager Posté(e) le 28 octobre 2006 Han !!! C'est une attaque de la Bête Plus sérieusement, ah mon avis, tu as juste eu pas de chance C'est difficile de savoir d'où viennent des attaques, surtout si tu n'as aucun service ouvert. Si tu n'as pas d'ip fixe, il suffit que le précédant propriétaire ait fait quelques indiscretion, et c'est toi qui récolte les fruits bref, tant que c'est droper, rien de grave Lien vers le commentaire Partager sur d’autres sites More sharing options...
erdelam Posté(e) le 28 octobre 2006 Auteur Partager Posté(e) le 28 octobre 2006 Merci, Han !!! C'est une attaque de la Bête Le pti nuage aussi ! Plus sérieusement, ah mon avis, tu as juste eu pas de chance C'est difficile de savoir d'où viennent des attaques, surtout si tu n'as aucun service ouvert. Si tu n'as pas d'ip fixe, il suffit que le précédant propriétaire ait fait quelques indiscretion, et c'est toi qui récolte les fruits bref, tant que c'est droper, rien de grave Les deux IP que mon FAI m'attribue sont quasi statiques ; j'ai gardé les mêmes pendant des mois ! Il y a ?deux mois, j'ai installé Mandrake 9.1 en confiance, sur ma deuxième IP, avec 'derrière', masqueradés, des PC de test qui tournent tres peu. Pas beaucoup de risques pour moi donc. Il s'avère que le firewall configuré 'standard' est juste un peu leger ! Je vérifiais simplement le volume du trafic sur l'interface avec ifconfig et la led du modem -tout ce que j'étais capable de faire-, en potassant mon linux à l'aise ! A mon avis, j'ai du broadcaster WW un truc du genre 'andouille à l'écoute, ici'. J'ai par example trouvé dans les logs du broadcast x.x.x.255 netbios (?. 137, 138, 139?) vers internet, ainsi que des broadcasts ??255.255.255.255 sur le port 7741 (Lisa)??. Shorewall -très bien shorewall- a maintenant DROP/REJECT tout ça ; mais avant ? Mes IP changent lorsque je change le PC connecté - c'est ce que j'ai fait en installant la machine Linux -, ton explication est donc aussi possible ! C'est aussi peut-être la solution: changer la carte éthernet du PC Linux suffira probablement à me faire obtenir une autre IP et ainsi faire cadeau du pb à un homme aujourd'hui heureux (et d'en récupérer un nouveau peut-être :) ! Merci pour l'info donc. Le port TCP 6666 est un port IRC, utilisé aussi pour échanger des 'informations de sécurité' ??? selon certaines sources ???. Je souhaitais lever l'hypothèse d'un trafic ??perturbateur issu d'ici. Cette hypothèse est levée par l'absence de reactions en ce sens dans ce forum. Le trafic ne représentant au pire qu'une vingtaine de mégabyte par mois, je vais laisser aller et voir comment ça évolue. J'ai aussi trouvé un forum Linux qui marche ! Il y en a beaucoup beaucoup des forums sur le pti nuage :). Encore merci, erdo Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 29 octobre 2006 Partager Posté(e) le 29 octobre 2006 J'ai par example trouvé dans les logs du broadcast x.x.x.255 netbios (?. 137, 138, 139?) vers internet ah oui, mais bon, si tu mets des pc qui font nawak derrière t&a passerelle aussi, on ne peut plus faire grand chose... maintenant, à part droper, je vois pas ce que tu peux faire. Il vaut mieux ne pas répondre, plutôt que répondre par la négative, en général, ça dissuade les attaquants ("host seems down.") tu peux tenter de faire un check de vulnérabilité en ligne (qui ne sont ni plus ni moins qu'un gros nmap), s'ils te répondent un truc du style "are you shure that this host exists ?", c'est que tu ne craint rien Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 30 octobre 2006 Partager Posté(e) le 30 octobre 2006 netstat -auntp pour voir les ports ouverts. ipables -L pour voire les ports/ip/proto bloqués ou autorisés. Si tu n'as pas de services qui écoutent sur ce port et/ou un firewall qui bloque, tu ne risque pas grand chose. Si tu as un service qui écoute sans firewall c'est pas non plus une catastropche, il faut voir le niveau faille-proof de l'appli. Au contraire, même avec un firewall sur le port et aucun service dessus, ça ne veut pas dire qu'il n'y a aucun danger. (Bon il faut bien être un peu parano des fois ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 30 octobre 2006 Partager Posté(e) le 30 octobre 2006 J'ai déjà eu dans le passé un problème similaire. Je ne veux pas te faire peur, mais si ça persiste je te conseille de communiquer avec ton FAI pour faire bloquer ce port à un niveau plus élevé pour un certain temps si c'est possible (en tout cas moi ils ont voulu). La raison: Nous avons droit à un transfert de 20 Go par mois et nous utilisons en moyenne 12 à 15 Go... Lorsque ça s'est produit, juste à cause de ces multiples requêtes... même si elles étaient infructueuses nous avons dépassé les 40 Go d'utilisation !!! Alors tu t'imagines la belle facture qu'on a reçu. La quantité de données transférées est calculée depuis le modem ADSL/DSL/Cable du FAI, alors même si ton serveur Linux ne répond pas, la requête à quand même passé dans le modem. Si tu as une connexion illimité en transfert, alors pas de problèmes. En faisant un DROP sur le port avec IPTABLES au-lieu d'un REJECT, un moment donné ça va arrêter. Lien vers le commentaire Partager sur d’autres sites More sharing options...
erdelam Posté(e) le 31 octobre 2006 Auteur Partager Posté(e) le 31 octobre 2006 Merci à tous les trois, "L'attaque" n'en est peut-être pas une, mais simplement des tentatives de connexion à un service qui a jadis existé à cette IP - ici, j'en doute, rien constaté au niveau du volume - ou plus probablement sur une autre machine, ailleurs chez un autre client de mon FAI, dont j'ai hérité l'IP. Merci Lorinc pour cette explication. Chez mon FAI, les IP sont quasi statiques, il n'est donc pas impossible qu'un serveur ?IRC? TCP 6666 ait fonctionné à cette IP pendant des mois, voire des années mais chez un autre client de mon FAI. En ce qui me concerne, le pb est classé "wait and see". [citation] ... faire nawak (Lorinc) [/citation] Moi ? jamais ! [citation] ... test de vulnérabilité [citation] J'en ai fait un au hazard ! No problem, of course avec mon shorewall refusant toutes les connexions de extérieur. [citation] netstat -??? [/citation] J'ai réalisé que le port TCP 6666 n'était pas ouvert, donc même sans firewall les trames en question sont DROPées. La liste des ports ouverts est longue (~20), mais aucun n'est/était connecté (sauf 80=http) et, pour la plupart, ce sont des ports connus de moi, faudra que je potasse un peu ce sujet :( [citation] iptables -E [/citation] iptables semble être la commande qu'utilise shorewall pour se construire ??? intéressant ... [citation] Je ne veux pas te faire peur, mais si ça persiste je te conseille de communiquer avec ton FAI pour faire bloquer ce port à un niveau plus élevé pour un certain temps si c'est possible (en tout cas moi ils ont voulu). [/citation] Vérifier le volume du trafic de cette "attaque" est la première chose que j'ai faite : 20 mégabytes par mois au pire ! 50 octets par trame, une trame toutes les 5 secondes ... Volume vérifié sur le compteur qui mesure mon trafic chez mon FAI. Donc de ce côté pas de problème. En fait, ce PB est assez amusant: les trames 6666 proviennent d'une multitude d' IP un petit soft, scannant /var.log/messages a compter jusqu'à ?492 trames tcp 6666 venant de la méme IP (sur un temps très court ... ??? < 2 jour (j'ai aussi appris que /var/log/messages était sauvé toutes les semaines)(30 megabytes /var/log/messages avec ces c...ies :) ?10 jours aprés le filtrage (inutile) par shorewall, "l'attaque" semble légèrement atténuée ??? Faudrait mesurer dans les logs ... Mais toujours bien là ! ce pb m'a aussi forcé/motivé à potasser shorewall et beaucoup d'autres choses ces 6666 m'ont amené ici aussi! C'est bien ici. ... et appris à éditer des listes sous ?PHPBB :) Merci, Jacques Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 1 novembre 2006 Partager Posté(e) le 1 novembre 2006 un port closed ou filtered indique qu'un jour il sera peut-être ouvert, alors que si tu drop, l'attaquant à l'impression que la machine n'existe pas regarde les sites d'exploits, il y en a peut-être un pour irc à la mode en ce moment désolé de ne pas avoir répondu à ton mp, je compatis le faire, mais vu que ce topic est up Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 1 novembre 2006 Partager Posté(e) le 1 novembre 2006 D'après le récit, c'est probablement ce qui s'est produit: Un autre client de ton FAI a eu un virus via IRC ou Napster (qui tous 2 utilisent le port TCP:6666). Il a débranché son ordinateur du réseau depuis un bon bout de temps (probablement pour l'envoyer au magasin pour un petit formattage ). L'adresse IP a donc obtenu un libération de bail et a abouti chez toi ! Maintenant tu reçois les requêtes des autres personnes qui sont probablement aux prises avec ce même virus, c'est un moyen de propagation assez commum de certains virus de reprendre une copie des adresses IP antérieures pour re-tenter l'infection. Mais heureusement tu as un magnifique serveur Linux avec IPTable qui permet de faire un DROP sur ce port si tu désires et tu ne semble pas utiliser d'IRC ou Napster directement (sans firewall). En espérant que les requêtes diminuent avec le temps... Lien vers le commentaire Partager sur d’autres sites More sharing options...
erdelam Posté(e) le 3 novembre 2006 Auteur Partager Posté(e) le 3 novembre 2006 Le bombardement port tcp 6666 a bien débuté lors d'un changement d'IP faisant suite à un Reboot de ma passerelle 24h/24 Mandrake 9.1 Tout cela est clairement lisible dans /var/log/messages et ses sauvegardes hebdomadaires. Le 16 octobre, je quitte Linux avec une IP, aussitot je redémarre, mon FAI m'attribue une autre IP -pourrie- et le bombardement tcp port 6666 commence immédiatement. (J'ai opéré d'autres reboots depuis et conserve cette IP ... pourrie :) ============================================== Volume de ce trafic: (50 octets par trame) --------------------- Oct 16 : 14140 trames/jour Oct 17 : 16231 trames/jour Oct 18 : 5530 trames/jour Oct 19 : 9453 trames/jour Oct 20 : 8360 trames/jour Oct 21 : 1851 trames/jour Oct 22 : 9217 trames/jour Oct 23 : 10783 trames/jour Oct 24 : 12464 trames/jour Oct 25 : 13707 trames/jour Oct 26 : 13343 trames/jour Oct 27 : 1617 trames/jour - modifié shorewall, ajoputé rules: REJECT all fw tcp 6666 - >>> plus logé - repassé à policy DROP et relogage Oct 30 : 355 trames/jour Oct 31 : 18173 trames/jour Nov 1 : 6080 trames/jour Nov 2 : 13637 trames/jour HISTOGRAME PAR JOUR (x = 400) Oct 16 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Oct 17 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Oct 18 :xxxxxxxxxxxxxx Oct 19 :xxxxxxxxxxxxxxxxxxxxxxxx Oct 20 :xxxxxxxxxxxxxxxxxxxxx Oct 21 :xxxxx Oct 22 :xxxxxxxxxxxxxxxxxxxxxxx Oct 23 :xxxxxxxxxxxxxxxxxxxxxxxxxxx Oct 24 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Oct 25 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Oct 26 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Oct 27 :xxxx ............. Oct 30 :x Oct 31 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Nov 1 :xxxxxxxxxxxxxxx Nov 2 :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ============================================== Pour 17 jours: -------------- Soit en tout 160.684 requètes TCP PORT 6666 Dont, curiosité, 114.251 soit 71% dans IP 80 : 8x.x.x.x ?????? 24.723 IP differentes ont envoyé une requête TCP PORT 6666 Nombre maximum de requètes reçues d'une même IP : 524 Manquent les requêtes reçues entre le 27 et le 30 octobre, période où, shorewall, suite à une nouvelle configuration, rejettait les requêtes sans les loger. Nouvel utilisateur de Linux, les logs débutent le 26 septembre 2006, ça a commencé très fort Linux TCPIP pour moi :) et j'ai gardé confiance ! Nouveau ? Ms premiers essais remontent aux 4 CD de la Sackware 'August 95', puis il y en eu d'autres ... ! ============================================== Merci à tous pour votre aide. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.