Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de farib :
- [29/08@10:39] Mozilla c'est beau, mais c'est plus lent que IE :-(
- [28/08@11:10] Méchants freezes... A l'aide, cher journal !
- [26/08@15:28] Qu'en penser ?
- [24/08@14:00] signification des capteurs de lm_sensors
- [13/08@16:41] Les trolls, c'est dommage.
- [10/08@09:50] parted, console, kernel panic :-)
- [04/08@09:07] ça y est, j'ai migré || 3615 Mylife.
- [31/07@10:02] installation de php-gtk
- [13/07@00:23] bien utiliser sa sortie tv nvidia
notemment un /etc presque vide
[root@localhost etc]# ls
cups/ init.d@ samba/ X11/
exploitation de la faille ssh ?
les /var/messages sont pleins de
ep 17 05:36:50 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=192.216.2.124 DST=213.41.169.124 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=11118 DF PROTO=TCP SPT=4019 DPT=135 WINDOW=8160 RES=0x00 SYN URGP=0
Sep 17 05:40:20 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=213.37.165.1 DST=213.41.169.124 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=5465 DF PROTO=TCP SPT=4088 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0
Sep 17 05:40:33 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=213.37.122.140 DST=213.41.169.124 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=48225 DF PROTO=TCP SPT=3099 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep 17 05:41:01 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=213.41.99.84 DST=213.41.169.124 LEN=92 TOS=0x00 PREC=0x00 TTL=121 ID=38720 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=7822
etc...
et un traceroute sur un ip prise au hasard parmis celles de ces logs donne !
bash-2.05b# traceroute 213.37.83.85
traceroute to 213.37.83.85 (213.37.83.85), 30 hops max, 38 byte packets
1 192.168.0.1 (192.168.0.1) 0.208 ms 0.192 ms 0.103 ms
2 loopback0-lns001-tip-voltaire.nerim.net (62.4.16.245) 53.518 ms 48.969 ms 44.036 ms
3 geth0-2-svenny.nerim.net (62.4.16.6) 391.219 ms 46.446 ms 106.695 ms
4 gige2-0-515.ipcolo2.Paris1.Level3.net (212.73.200.93) 119.606 ms 103.917 ms 190.189 ms
5 ae0-17.mp1.Paris1.Level3.net (212.73.240.97) 586.939 ms 51.566 ms 47.030 ms
6 so-1-0-0.mp2.London1.Level3.net (212.187.128.54) 54.132 ms 54.309 ms 54.745 ms
7 so-1-0-0.bbr2.NewYork1.level3.net (212.187.128.153) 114.365 ms 116.694 ms 117.281 ms
8 so-0-2-0.bbr1.Washington1.level3.net (64.159.1.86) 127.369 ms 124.745 ms 169.303 ms
9 so-7-0-0.edge1.Washington1.Level3.net (209.244.11.14) 137.785 ms 119.485 ms 127.621 ms
10 65.59.88.210 (65.59.88.210) 166.403 ms 129.956 ms 211.192 ms
11 if-6-0.core1.Ashburn.Teleglobe.net (207.45.223.113) 1012.451 ms 344.351 ms 242.339 ms
12 if-2-0.core2.Newark.Teleglobe.net (64.86.83.213) 271.013 ms 242.308 ms 247.628 ms
13 if-8-0.core2.London2.Teleglobe.net (66.110.8.142) 257.843 ms 354.665 ms 887.148 ms
14 if-5-0.core1.London2.teleglobe.net (195.219.15.217) 237.060 ms 242.430 ms 234.561 ms
15 if-5-0.core1.Madrid.Teleglobe.net (195.219.133.61) 237.080 ms 239.217 ms 256.027 ms
16 if-6-0.core2.Madrid.Teleglobe.net (195.219.149.77) 234.341 ms 229.139 ms 232.019 ms
17 ix-4-0.core2.Madrid.Teleglobe.net (195.219.149.10) 231.766 ms 761.744 ms 305.044 ms
18 10.127.1.18 (10.127.1.18) 166.610 ms 167.274 ms 166.251 ms
19 62.100.100.2 (62.100.100.2) 257.843 ms 174.443 ms 190.253 ms
20 10.21.2.100 (10.21.2.100) 169.225 ms 166.656 ms 166.881 ms
21 10.113.211.2 (10.113.211.2) 174.412 ms 182.473 ms 205.860 ms
22 10.113.50.100 (10.113.50.100) 177.093 ms 199.212 ms 452.640 ms
ce qui semble etre une route zigzaguante....
exploitation de la faille ssh ?
> Lire le journal (15 commentaires, moyenne: 0,4).
Re: Attaqué ?
Salut,
d'apres les logs le port destination est le 135 => service NetBios. Je dirais plutot une petite tentative de visite de Blaster & Co.
Fifou
-
[^]Re: Attaqué ?
Posté par farib () le 17/09/2003 à 11:56. (lien). Évalué à 1.oué, je me suis planté sur ce coup la, masi il n'empeche que le serveur a une grosse couille.
en fonction des messages d'erreurs, on peut en déduire qu'a un moment le systeme n'a plus trouvé des fichiers de /etc
ep 17 05:55:11 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=209.86.243.174 DST=213.41.169.124 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=36774 PROTO=UDP SPT=1026 DPT=137 LEN=58
Sep 17 05:58:54 serveur_soufflot kernel: iptables: logdenyIN=eth1 OUT= MAC= SRC=10.0.0.10 DST=10.0.0.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=228
Sep 17 05:58:54 serveur_soufflot kernel: iptables: logdenyIN=eth1 OUT= MAC= SRC=10.0.0.10 DST=10.0.0.255 LEN=252 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=232
Sep 17 06:04:01 serveur_soufflot pppoe[11586]: read (asyncReadFromPPP): Input/output error
Sep 17 06:04:01 serveur_soufflot pppoe[11586]: Sent PADT
Sep 17 04:04:06 serveur_soufflot pppoe[13076]: PPP session is 6639
Sep 17 04:04:06 serveur_soufflot pppoe[13076]: Session terminated -- received PADT from peer
Sep 17 04:04:07 serveur_soufflot pppoe[13082]: PPP session is 6641
Sep 17 04:04:07 serveur_soufflot pppoe[13082]: Session terminated -- received PADT from peer
Sep 17 04:04:07 serveur_soufflot pppoe[13087]: PPP session is 6642
Sep 17 04:04:08 serveur_soufflot pppoe[13087]: Session terminated -- received PADT from peer
Sep 17 04:04:13 serveur_soufflot pppoe[13092]: PPP session is 6644
Sep 17 04:04:13 serveur_soufflot pppoe[13092]: Session terminated -- received PADT from peer
Sep 17 04:04:14 serveur_soufflot pppoe[13097]: PPP session is 6645
Sep 17 04:04:14 serveur_soufflot pppoe[13097]: Session terminated -- received PADT from peer
Sep 17 04:04:14 serveur_soufflot pppoe[13102]: PPP session is 6646
Sep 17 04:04:14 serveur_soufflot pppoe[13102]: Session terminated -- received PADT from peer
Sep 17 04:04:15 serveur_soufflot pppoe[13107]: PPP session is 6647
Sep 17 04:04:15 serveur_soufflot pppoe[13107]: Session terminated -- received PADT from peer
Sep 17 04:04:15 serveur_soufflot pppoe[13112]: PPP session is 6648
Sep 17 04:04:16 serveur_soufflot pppoe[13112]: Session terminated -- received PADT from peer
Sep 17 04:04:16 serveur_soufflot pppoe[13117]: PPP session is 6649
Sep 17 04:04:16 serveur_soufflot pppoe[13117]: Session terminated -- received PADT from peer
Sep 17 04:04:17 serveur_soufflot pppoe[13122]: PPP session is 6650
Sep 17 04:04:17 serveur_soufflot pppoe[13122]: Session terminated -- received PADT from peer
Sep 17 06:04:49 serveur_soufflot noip[1298]: Can't get status for ppp0. (19)
Sep 17 06:04:49 serveur_soufflot noip[1298]: ! LIA = 213.41.169.124, IP =
et puis voir aussi
WARNING: /etc/ssh/moduli does not exist, using old modulus
params.c:OpenConfFile() - Unable to open configuration file "/etc/samba/smb.conf":
donc y'a un moment ou /ect s'est vidé... tout seul ?
Re: Attaqué ?
le port destination 135 ca ressemble a du msblaster (virus windows)
Dam
Re: Attaqué ?
Tu as mis quoi comme distrib ?
Parce que une fois, le rép /etc avait disparu sous mdk 9.1
-
[+] [^]Re: Attaqué ?
Posté par gnumdk (page perso, ) le 17/09/2003 à 12:55. (lien). Évalué à -6.Mais bien sur, et la marmotte, elle met le chocolat dans le ....
-
[^]Re: Attaqué ?
Posté par schyzomarijks () le 17/09/2003 à 13:17. (lien). Évalué à 2.Tu peux me croire ou pas, je m'en fous,
ce qui est certain, c'est que ca n'est pas arrivé qu'à moi.
http://qa.mandrakesoft.com/show_bug.cgi?id=4862(...)
http://linuxfr.org/~AxelTerizaki/2733.html(...)
http://linuxfr.org/~Serge2/3144.html(...)
Alors, avant de crié au FUD...
farid, utilise rpm pour voir quel sont les fichiers qui manquent (MISSING) et réinstalle les paquets.
bon courage.-
[^]Re: Attaqué ?
Posté par earxtacy (Jabber id, ) le 17/09/2003 à 14:07. (lien). Évalué à 1.tu as été victime de la faille sur Samba qui attaque justement les ports que tu cites 135,139 etc...
-
[^]Re: Attaqué ?
Posté par earxtacy (Jabber id, ) le 17/09/2003 à 14:12. (lien). Évalué à 2.samba et trou:
http://www.security.nnov.ru/search/soft.asp?sofname=samba(...)
samba tournait ?
comment cela se fait il qu'il etait accessible de l'exterieur ?
-
[^]Re: Attaqué ?
Posté par schyzomarijks () le 17/09/2003 à 14:14. (lien). Évalué à 0.Je ne pense pas puisque je n'ai pas internet chez moi et je n'utilise pas samba.
en fait, ce problème m'est arrivé deux fois, a ce que j'ai pu comprendre, le système démontait mal les lecteurs dv et graveur lorsque supermount était actif, du coup le / était en erreur et au redémarrage, fsck bousillait plusieurs fichiers dont fstab et une bonne partie de etc.
bref, que du bonheur :-)
depuis, j'ai viré supermount et ca ne l'a jamais refait.-
[^]Re: Attaqué ?
-
-
-
[^]Re: Attaqué ?
-
[^]Re: Attaqué ?
Posté par gnumdk (page perso, ) le 17/09/2003 à 19:21. (lien). Évalué à 0.Euh, désolé, je vois juste que ext3 sux et donc aucun rapport avec mandrake ...
C tout ce que je voulais dire, j'ai pas dit que ca n'etait pas arrivé mais dans ta phrase, c'etait la faute a mandrake. Tu me diras que mdk n'a qu'a pas proposé le check si ca peut foutre ext3 en vrac. Le probleme, c que sur la ml cooker, y'a un mec qui dit que lui a moins de probleme en faisant un fsck sur sa partoche ext3 et voudrait bien que cela soit par defaut. Moi j'en conclu que ext3, c'est de la merde et je comprend pas que les gens profitent pas de XFS a l'install de la mdk... D'ailleurs, mandrake pourrait le mettre par defaut dans diskdrake...
-
-
-
[^]Re: Attaqué ?
Cette page a été générée par Templeet en 0.0793s (dont 0.0073 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.