Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

hack ou psychose

ad selene

Bonjour à tous, je suis nouveau sous fedora (la 7), j'utilise Firestarter en firewall.

Voila, je me suis appercu que mon PC etait scanne par toujours la meme adresse mac (qui semble etre fausse bien sur)

OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00

Les adresses tentant les connections sont toujours differentes mais commencent regulierement par

82.233

Voila mon probleme: mon ordi a tout simplement plante lorsque j'ai tappe la command 'whois'. [ctrl]+[alt]+[backspace] ne relancait pas X non plus.

Je redemarre et regarde alors mon fichier message log et la c'est l'horreur (j'en liste que 10 mais il y en a beaucoup beaucoup plus):

Jun  9 13:57:52 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.50.250 DST=192.168.0.2 LEN=44 TOS=0x00 PREC=0x00 TTL=122 ID=15135 DF PROTO=TCP SPT=4769 DPT=135 WINDOW=8192 RES=0x00 SYN URGP=0 
Jun  9 13:58:04 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.63.94 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7157 DF PROTO=TCP SPT=4265 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 
Jun  9 13:58:07 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.94.41 DST=192.168.0.2 LEN=64 TOS=0x00 PREC=0x00 TTL=44 ID=30313 DF PROTO=TCP SPT=4015 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 
Jun  9 13:58:10 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.94.41 DST=192.168.0.2 LEN=64 TOS=0x00 PREC=0x00 TTL=44 ID=31579 DF PROTO=TCP SPT=4015 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 
Jun  9 13:58:33 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.44.24 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=55333 DF PROTO=TCP SPT=2521 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 
Jun  9 13:58:36 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.44.24 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=55679 DF PROTO=TCP SPT=2521 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 
Jun  9 13:58:42 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=82.233.44.24 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=56449 DF PROTO=TCP SPT=2521 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 
Jun  9 13:59:23 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=210.141.124.8 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=29666 DF PROTO=TCP SPT=1537 DPT=139 WINDOW=65044 RES=0x00 SYN URGP=0 
Jun  9 13:59:26 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=210.141.124.8 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=30265 DF PROTO=TCP SPT=1537 DPT=139 WINDOW=65044 RES=0x00 SYN URGP=0 
Jun  9 13:59:29 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=210.141.124.8 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=30790 DF PROTO=TCP SPT=1709 DPT=445 WINDOW=65044 RES=0x00 SYN URGP=0 
Jun  9 13:59:32 localhost kernel: Inbound IN=eth0 OUT= MAC=00:50:8d:63:2d:59:00:07:cb:0b:60:79:08:00 SRC=210.141.124.8 DST=192.168.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=31197 DF PROTO=TCP SPT=1709 DPT=445 WINDOW=65044 RES=0x00 SYN URGP=0

Je regarde les log secure et je balise:

Jun  9 13:31:17 localhost userhelper[2960]: PAM unable to dlopen(/lib/security/pam_stack.so)
Jun  9 13:31:17 localhost userhelper[2960]: PAM [error: /lib/security/pam_stack.so: cannot open shared object file: No such file or directory]
Jun  9 13:31:17 localhost userhelper[2960]: PAM adding faulty module: /lib/security/pam_stack.so
Jun  9 13:31:17 localhost userhelper[2963]: running '/usr/sbin/firestarter' with context system_u:system_r:unconfined_t 
Jun  9 13:31:17 localhost userhelper[2963]: running '/usr/sbin/firestarter ' with root privileges on behalf of 'root'
Jun  9 13:31:58 localhost userhelper[3248]: pam_timestamp(gnome-system-log:session): updated timestamp file `/var/run/sudo/alain/unknown:root'
Jun  9 13:31:58 localhost userhelper[3252]: running '/usr/sbin/gnome-system-log' with context system_u:system_r:unconfined_t 
Jun  9 13:31:58 localhost userhelper[3252]: running '/usr/sbin/gnome-system-log ' with root privileges on behalf of 'alain'
Jun  9 13:42:32 localhost userhelper[3358]: pam_timestamp(system-config-users:auth): timestamp file `/var/run/sudo/alain/unknown:root' has unacceptable age (635 seconds), disallowing access to system-config-users for user alain
Jun  9 13:42:36 localhost userhelper[3358]: pam_timestamp(system-config-users:session): updated timestamp file `/var/run/sudo/alain/unknown:root'
Jun  9 13:42:36 localhost userhelper[3361]: running '/usr/share/system-config-users/system-config-users' with context system_u:system_r:unconfined_t 
Jun  9 13:42:36 localhost userhelper[3361]: running '/usr/share/system-config-users/system-config-users ' with root privileges on behalf of 'alain'

Mes access en tant que root sont decris comme ci-dessous:

Jun  9 14:09:30 localhost su: pam_unix(su:session): session opened for user root by alain(uid=500)

je n'utilise jamais sudo et ce qui me fait peur c'est que ce userHelper access a des parties sensibles system-config etc.
Je ne me rappelle plus des commandes de gestion d'utilisateur et system-config-users en root ne me liste que moi meme.

Alors voila userhelper fait-il partie d'une facon de mettre a jour fedora ? sinon aidez moi je suis perdu

ded

ba soit on a ete hacké tout les deux(lol) soit c'est normal moi aussi j ai ce userhelper dans mes log
en suite 192.168.0.2 c'est une adresse locale donc soit ta passerelle,soit au autre poste sur ton reseau

ad selene

ded wrote:en suite 192.168.0.2 c'est une adresse locale

Oui c'est mon poste, c'est l'adresse de direction de inbond. J'ai recupere quelques infos supplementaires.
Deja j'ai coupe le service sendmail apres avoir vu ca : access a mes aliases dans maillog; je n'utilise jamais de prog de mail

Jun  9 11:54:25 localhost sendmail[2073]: alias database /etc/aliases rebuilt by root
Jun  9 11:54:25 localhost sendmail[2073]: /etc/aliases: 76 aliases, longest 10 bytes, 765 bytes total
Jun  9 11:54:25 localhost sendmail[2078]: starting daemon (8.14.1): SMTP+queueing@01:00:00
Jun  9 11:54:25 localhost sm-msp-queue[2087]: starting daemon (8.14.1): queueing@01:00:00
Jun  9 13:08:03 localhost sendmail[3564]: l59B7vAh003564: from=root, size=26180, class=0, nrcpts=1, msgid=<200706091107.l59B7vAh003564@localhost.localdomain>, relay=root@localhost
Jun  9 13:08:03 localhost sendmail[3848]: l59B831O003848: from=<root@localhost.localdomain>, size=26458, class=0, nrcpts=1, msgid=<200706091107.l59B7vAh003564@localhost.localdomain>, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Jun  9 13:08:03 localhost sendmail[3564]: l59B7vAh003564: to=root, ctladdr=root (0/0), delay=00:00:06, xdelay=00:00:00, mailer=relay, pri=56180, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (l59B831O003848 Message accepted for delivery)
Jun  9 13:08:04 localhost sendmail[3849]: l59B831O003848: to=<root@localhost.localdomain>, ctladdr=<root@localhost.localdomain> (0/0), delay=00:00:01, xdelay=00:00:01, mailer=local, pri=56691, dsn=2.0.0, stat=Sent
Jun  9 13:30:11 localhost sendmail[2089]: alias database /etc/aliases rebuilt by root
Jun  9 13:30:11 localhost sendmail[2089]: /etc/aliases: 76 aliases, longest 10 bytes, 765 bytes total
Jun  9 13:30:12 localhost sendmail[2094]: starting daemon (8.14.1): SMTP+queueing@01:00:00
Jun  9 13:30:12 localhost sm-msp-queue[2103]: starting daemon (8.14.1): queueing@01:00:00

ensuite j'ai recupe les ip de destination en sortie :

Jun  9 15:06:01 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=177 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=157 
Jun  9 15:06:01 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=372 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=352 
Jun  9 15:06:01 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=177 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=157 
Jun  9 15:06:02 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=177 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=157 
Jun  9 15:06:02 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=165 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=145 
Jun  9 15:06:02 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=316 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=296 
Jun  9 15:06:02 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=89 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=69 
Jun  9 15:06:03 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=165 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=145 
Jun  9 15:06:05 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.251 LEN=165 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=145 
Jun  9 15:06:07 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Jun  9 15:07:46 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=192.149.252.44 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=32555 DF PROTO=TCP SPT=59572 DPT=43 WINDOW=5840 RES=0x00 SYN URGP=0 
Jun  9 15:07:49 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=192.149.252.44 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=32556 DF PROTO=TCP SPT=59572 DPT=43 WINDOW=5840 RES=0x00 SYN URGP=0 
Jun  9 15:07:49 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=199.43.0.144 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=8155 DF PROTO=TCP SPT=35023 DPT=43 WINDOW=5840 RES=0x00 SYN URGP=0 
Jun  9 15:07:52 localhost kernel: Outbound IN= OUT=eth0 SRC=192.168.0.2 DST=199.43.0.144 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=8156 DF PROTO=TCP SPT=35023 DPT=43 WINDOW=5840 RES=0x00 SYN URGP=0

Voici les whois :

Voici les résultats du whois pour l'adresse IP 224.0.0.251

C'est le serveur whois.arin.net qui possède l'information suivante :


OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 224.0.0.0 - 239.255.255.255
CIDR: 224.0.0.0/4
NetName: MCAST-NET
NetHandle: NET-224-0-0-0-1
Parent:
NetType: IANA Special Use
NameServer: FLAG.EP.NET
NameServer: STRUL.STUPI.SE
NameServer: NS.ISI.EDU
NameServer: NIC.NEAR.NET
Comment: This block is reserved for special purposes.
Comment: Please see RFC 3171 for additional information.
Comment:
RegDate: 1991-05-22
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

Voici les résultats du whois pour l'adresse IP 224.0.0.222

C'est le serveur whois.arin.net qui possède l'information suivante :


OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 224.0.0.0 - 239.255.255.255
CIDR: 224.0.0.0/4
NetName: MCAST-NET
NetHandle: NET-224-0-0-0-1
Parent:
NetType: IANA Special Use
NameServer: FLAG.EP.NET
NameServer: STRUL.STUPI.SE
NameServer: NS.ISI.EDU
NameServer: NIC.NEAR.NET
Comment: This block is reserved for special purposes.
Comment: Please see RFC 3171 for additional information.
Comment:
RegDate: 1991-05-22
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2007-06-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Voici les résultats du whois pour l'adresse IP 199.43.0.144

C'est le serveur whois.arin.net qui possède l'information suivante :


OrgName: American Registry for Internet Numbers
OrgID: ARIN
Address: 3635 Concorde Parkway
Address: Suite 200
City: Chantilly
StateProv: VA
PostalCode: 20151
Country: US

NetRange: 199.43.0.0 - 199.43.0.255
CIDR: 199.43.0.0/24
OriginAS: AS10745
NetName: ARIN-BLK-3
NetHandle: NET-199-43-0-0-1
Parent: NET-199-0-0-0-0
NetType: Direct Assignment
NameServer: NS1.ARIN.NET
NameServer: NS2.ARIN.NET
NameServer: NS-SEC.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
Comment:
RegDate: 2005-11-09
Updated: 2007-03-28

OrgNOCHandle: ARINN-ARIN
OrgNOCName: ARIN NOC
OrgNOCPhone: +1-703-227-9840
OrgNOCEmail: noc@arin.net

OrgTechHandle: ARIN-HOSTMASTER
OrgTechName: Registration Services Department
OrgTechPhone: +1-703-227-0660
OrgTechEmail: hostmaster@arin.net

# ARIN WHOIS database, last updated 2007-06-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

ad selene

Bon j'ai ferme tous les access avec firestarter, ferme le servie sendmail et depuis je n'ai plus de messages dans /var/log/secure (excepte mes access ;p ) en recevant toujours les attaques.

Il semblerait donc que quelqu'un utilisait PAM pour chercher mes shareed files.

Je vais voir a quoi sert ce userhelper sur fedora et si possible le detruire. Si quelqu'un a une meilleur idee ou vois ou je me suis plante, je suis preneur.

Et si vous voulez rire regardez qui jouait avec mon ordi (d'apres le whois) : http://www.iana.org/

[edit]
Bon userhelper est utilise a chaque fois qu'on ouvre un gui sous root (system/admin) et Pam permet de ne pas tapper son mot de passe root pendant 5 minutes.

Cependant j'ai des sorties non interceptees par le firewall et c'est embettant:

En fesant un cat /var/log/messages | grep Outbond je trouve ceci:
Je reajoute le whois c'est interessant
ip // protocole // port // whois
224.0.0.22 // 2 // // Internet Assigned Numbers Authority
224.0.0.251 // udp // 5353 // Internet Assigned Numbers Authority
192.149.252.44 // tcp // 59572 // American Registry for Internet Numbers
199.43.0.144 // tcp // 35023 // American Registry for Internet Numbers
84.102.131.209 // udp // 32777-32778// adresse dynamique neuf telecom
212.95.67.120 // tcp // 48725-48777 // SdV Plurimedia

ded

port 5353 Multicast DNS
iana c'est l'organisme qui se charge d'attribuer les fonctions des 1024 premiers ports ...

ad selene

ded wrote:port 5353 Multicast DNS
iana c'est l'organisme qui se charge d'attribuer les fonctions des 1024 premiers ports ...

Ok ca me rassure. Ce doit etre pareil pour American Registry for Internet Numbers, ils doivent faire partie du processus.
Il ne me reste plus que l'utilisateur 9com et SdV Plurimedia (je n'utilise pas amule donc ca n'est pas logique que mon ordi demande a les contacter).
Si quelqu'un sait comment trouver les processus qui sont utilise pour demander ces sorties ca m'interesserait.
Merci

ded

ce sont deux fai donc avec l'interconnection des reseaux ca semble pas trop preocupant

Anvil

224 c'est la classe A multicast... non, ce qui est interessant c'est la source... qui vient apparemment du japon. Enfin une des deux.

Ce qu'il faut retenir, c'est qu'Internet est truffe' de machines zombies, et que ces zombies cherchent a creer d'autres zombies. C'est pas toi la cible, c'est le reste du monde.
Tant que tu te proteges avec ton firewall, SELinux, et un brin de vigilance et de bon sens, tu ne risqueras pas grand chose.

eddy33

Salut...

224.0.0.0 : c'est du multicat...utilise par exemple pour le streaming. Tu ne fais pas de la video a la demande VoD ?

++

ad selene

c'etait pour tenter d'utiliser VLC avec le freeplayer en effet.