Journal Attaqué ?

Posté par  .
Étiquettes : aucune
0
17
sept.
2003
ce matin le petit serveur du magasin ou je bosse a eu des petits problemes....


notemment un /etc presque vide

[root@localhost etc]# ls
cups/ init.d@ samba/ X11/

exploitation de la faille ssh ?

les /var/messages sont pleins de

ep 17 05:36:50 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=192.216.2.124 DST=213.41.169.124 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=11118 DF PROTO=TCP SPT=4019 DPT=135 WINDOW=8160 RES=0x00 SYN URGP=0
Sep 17 05:40:20 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=213.37.165.1 DST=213.41.169.124 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=5465 DF PROTO=TCP SPT=4088 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0
Sep 17 05:40:33 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=213.37.122.140 DST=213.41.169.124 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=48225 DF PROTO=TCP SPT=3099 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep 17 05:41:01 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=213.41.99.84 DST=213.41.169.124 LEN=92 TOS=0x00 PREC=0x00 TTL=121 ID=38720 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=7822

etc...

et un traceroute sur un ip prise au hasard parmis celles de ces logs donne !

bash-2.05b# traceroute 213.37.83.85
traceroute to 213.37.83.85 (213.37.83.85), 30 hops max, 38 byte packets
1 192.168.0.1 (192.168.0.1) 0.208 ms 0.192 ms 0.103 ms
2 loopback0-lns001-tip-voltaire.nerim.net (62.4.16.245) 53.518 ms 48.969 ms 44.036 ms
3 geth0-2-svenny.nerim.net (62.4.16.6) 391.219 ms 46.446 ms 106.695 ms
4 gige2-0-515.ipcolo2.Paris1.Level3.net (212.73.200.93) 119.606 ms 103.917 ms 190.189 ms
5 ae0-17.mp1.Paris1.Level3.net (212.73.240.97) 586.939 ms 51.566 ms 47.030 ms
6 so-1-0-0.mp2.London1.Level3.net (212.187.128.54) 54.132 ms 54.309 ms 54.745 ms
7 so-1-0-0.bbr2.NewYork1.level3.net (212.187.128.153) 114.365 ms 116.694 ms 117.281 ms
8 so-0-2-0.bbr1.Washington1.level3.net (64.159.1.86) 127.369 ms 124.745 ms 169.303 ms
9 so-7-0-0.edge1.Washington1.Level3.net (209.244.11.14) 137.785 ms 119.485 ms 127.621 ms
10 65.59.88.210 (65.59.88.210) 166.403 ms 129.956 ms 211.192 ms
11 if-6-0.core1.Ashburn.Teleglobe.net (207.45.223.113) 1012.451 ms 344.351 ms 242.339 ms
12 if-2-0.core2.Newark.Teleglobe.net (64.86.83.213) 271.013 ms 242.308 ms 247.628 ms
13 if-8-0.core2.London2.Teleglobe.net (66.110.8.142) 257.843 ms 354.665 ms 887.148 ms
14 if-5-0.core1.London2.teleglobe.net (195.219.15.217) 237.060 ms 242.430 ms 234.561 ms
15 if-5-0.core1.Madrid.Teleglobe.net (195.219.133.61) 237.080 ms 239.217 ms 256.027 ms
16 if-6-0.core2.Madrid.Teleglobe.net (195.219.149.77) 234.341 ms 229.139 ms 232.019 ms
17 ix-4-0.core2.Madrid.Teleglobe.net (195.219.149.10) 231.766 ms 761.744 ms 305.044 ms
18 10.127.1.18 (10.127.1.18) 166.610 ms 167.274 ms 166.251 ms
19 62.100.100.2 (62.100.100.2) 257.843 ms 174.443 ms 190.253 ms
20 10.21.2.100 (10.21.2.100) 169.225 ms 166.656 ms 166.881 ms
21 10.113.211.2 (10.113.211.2) 174.412 ms 182.473 ms 205.860 ms
22 10.113.50.100 (10.113.50.100) 177.093 ms 199.212 ms 452.640 ms


ce qui semble etre une route zigzaguante....


exploitation de la faille ssh ?

  • # Re: Attaqué ?

    Posté par  . Évalué à 3.

    Salut,
    d'apres les logs le port destination est le 135 => service NetBios. Je dirais plutot une petite tentative de visite de Blaster & Co.

    Fifou

    • [^] # Re: Attaqué ?

      Posté par  . Évalué à 1.

      oué, je me suis planté sur ce coup la, masi il n'empeche que le serveur a une grosse couille.


      en fonction des messages d'erreurs, on peut en déduire qu'a un moment le systeme n'a plus trouvé des fichiers de /etc

      ep 17 05:55:11 serveur_soufflot kernel: iptables: logdenyIN=ppp0 OUT= MAC= SRC=209.86.243.174 DST=213.41.169.124 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=36774 PROTO=UDP SPT=1026 DPT=137 LEN=58
      Sep 17 05:58:54 serveur_soufflot kernel: iptables: logdenyIN=eth1 OUT= MAC= SRC=10.0.0.10 DST=10.0.0.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=228
      Sep 17 05:58:54 serveur_soufflot kernel: iptables: logdenyIN=eth1 OUT= MAC= SRC=10.0.0.10 DST=10.0.0.255 LEN=252 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=232
      Sep 17 06:04:01 serveur_soufflot pppoe[11586]: read (asyncReadFromPPP): Input/output error
      Sep 17 06:04:01 serveur_soufflot pppoe[11586]: Sent PADT
      Sep 17 04:04:06 serveur_soufflot pppoe[13076]: PPP session is 6639
      Sep 17 04:04:06 serveur_soufflot pppoe[13076]: Session terminated -- received PADT from peer
      Sep 17 04:04:07 serveur_soufflot pppoe[13082]: PPP session is 6641
      Sep 17 04:04:07 serveur_soufflot pppoe[13082]: Session terminated -- received PADT from peer
      Sep 17 04:04:07 serveur_soufflot pppoe[13087]: PPP session is 6642
      Sep 17 04:04:08 serveur_soufflot pppoe[13087]: Session terminated -- received PADT from peer
      Sep 17 04:04:13 serveur_soufflot pppoe[13092]: PPP session is 6644
      Sep 17 04:04:13 serveur_soufflot pppoe[13092]: Session terminated -- received PADT from peer
      Sep 17 04:04:14 serveur_soufflot pppoe[13097]: PPP session is 6645
      Sep 17 04:04:14 serveur_soufflot pppoe[13097]: Session terminated -- received PADT from peer
      Sep 17 04:04:14 serveur_soufflot pppoe[13102]: PPP session is 6646
      Sep 17 04:04:14 serveur_soufflot pppoe[13102]: Session terminated -- received PADT from peer
      Sep 17 04:04:15 serveur_soufflot pppoe[13107]: PPP session is 6647
      Sep 17 04:04:15 serveur_soufflot pppoe[13107]: Session terminated -- received PADT from peer
      Sep 17 04:04:15 serveur_soufflot pppoe[13112]: PPP session is 6648
      Sep 17 04:04:16 serveur_soufflot pppoe[13112]: Session terminated -- received PADT from peer
      Sep 17 04:04:16 serveur_soufflot pppoe[13117]: PPP session is 6649
      Sep 17 04:04:16 serveur_soufflot pppoe[13117]: Session terminated -- received PADT from peer
      Sep 17 04:04:17 serveur_soufflot pppoe[13122]: PPP session is 6650
      Sep 17 04:04:17 serveur_soufflot pppoe[13122]: Session terminated -- received PADT from peer
      Sep 17 06:04:49 serveur_soufflot noip[1298]: Can't get status for ppp0. (19)
      Sep 17 06:04:49 serveur_soufflot noip[1298]: ! LIA = 213.41.169.124, IP =


      et puis voir aussi

      WARNING: /etc/ssh/moduli does not exist, using old modulus
      params.c:OpenConfFile() - Unable to open configuration file "/etc/samba/smb.conf":

      donc y'a un moment ou /ect s'est vidé... tout seul ?

  • # Re: Attaqué ?

    Posté par  . Évalué à 1.

    le port destination 135 ca ressemble a du msblaster (virus windows)

    Dam

  • # Re: Attaqué ?

    Posté par  . Évalué à 2.

    les logs iptables sont normaux, a chaque fois que je log les entrées chez moi ou au boulot j'ai ça, y a plein de requetes netbios (enfin une par minute)
    donc c'est pas sur que ce soit lié

  • # Re: Attaqué ?

    Posté par  . Évalué à 1.

    Tu as mis quoi comme distrib ?

    Parce que une fois, le rép /etc avait disparu sous mdk 9.1

    • [^] # Re: Attaqué ?

      Posté par  (site web personnel) . Évalué à -6.

      Mais bien sur, et la marmotte, elle met le chocolat dans le ....

      • [^] # Re: Attaqué ?

        Posté par  . Évalué à 2.

        Tu peux me croire ou pas, je m'en fous,

        ce qui est certain, c'est que ca n'est pas arrivé qu'à moi.

        http://qa.mandrakesoft.com/show_bug.cgi?id=4862(...)

        http://linuxfr.org/~AxelTerizaki/2733.html(...)

        http://linuxfr.org/~Serge2/3144.html(...)

        Alors, avant de crié au FUD...

        farid, utilise rpm pour voir quel sont les fichiers qui manquent (MISSING) et réinstalle les paquets.
        bon courage.

        • [^] # Re: Attaqué ?

          Posté par  . Évalué à 1.

          tu as été victime de la faille sur Samba qui attaque justement les ports que tu cites 135,139 etc...

          • [^] # Re: Attaqué ?

            Posté par  . Évalué à 2.

            samba et trou:
            http://www.security.nnov.ru/search/soft.asp?sofname=samba(...)

            samba tournait ?
            comment cela se fait il qu'il etait accessible de l'exterieur ?

          • [^] # Re: Attaqué ?

            Posté par  . Évalué à 0.

            Je ne pense pas puisque je n'ai pas internet chez moi et je n'utilise pas samba.

            en fait, ce problème m'est arrivé deux fois, a ce que j'ai pu comprendre, le système démontait mal les lecteurs dv et graveur lorsque supermount était actif, du coup le / était en erreur et au redémarrage, fsck bousillait plusieurs fichiers dont fstab et une bonne partie de etc.

            bref, que du bonheur :-)

            depuis, j'ai viré supermount et ca ne l'a jamais refait.

        • [^] # Re: Attaqué ?

          Posté par  . Évalué à 1.

          ReiserFS ro><or !

        • [^] # Re: Attaqué ?

          Posté par  (site web personnel) . Évalué à 0.

          Euh, désolé, je vois juste que ext3 sux et donc aucun rapport avec mandrake ...

          C tout ce que je voulais dire, j'ai pas dit que ca n'etait pas arrivé mais dans ta phrase, c'etait la faute a mandrake. Tu me diras que mdk n'a qu'a pas proposé le check si ca peut foutre ext3 en vrac. Le probleme, c que sur la ml cooker, y'a un mec qui dit que lui a moins de probleme en faisant un fsck sur sa partoche ext3 et voudrait bien que cela soit par defaut. Moi j'en conclu que ext3, c'est de la merde et je comprend pas que les gens profitent pas de XFS a l'install de la mdk... D'ailleurs, mandrake pourrait le mettre par defaut dans diskdrake...

    • [^] # Re: Attaqué ?

      Posté par  . Évalué à -4.

      Ca c'est du FUD de combat...

      Attention steve ballmer a un compte sur dlfp..

    • [^] # Re: Attaqué ?

      Posté par  . Évalué à 1.

      ca tombe bien c'en est une....

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.