Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 Beta est disponible

#1 13/03/2020 20:10:16

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

[Résolu] intrusion.

Bonjour. Je découvre 2 fichiers qui ont été placé dans le ~

Config et package.lst
Le 1er contient:

STARTX 0 
Y 732 
PASSWD ********
X 978 
HANDLE isa5156 
SAVEPASSWD true 
SCULA MAINSERVER 
LANGUAGE 2 
BACKUPSERVER 185.148.178.115 
FIREWALL false 
STARTY 0 

Alors par curiosité je suis allé voir:

whois 185.148.178.115
[Requête en cours whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '185.148.176.0 - 185.148.179.255'

% Abuse contact for '185.148.176.0 - 185.148.179.255' is 'kofroysnes@nettkroken.no'

inetnum:        185.148.176.0 - 185.148.179.255
netname:        NO-NETTKROKEN-20160421
country:        NO
org:            ORG-NA802-RIPE
admin-c:        KOF11-RIPE
tech-c:         JTF8-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         no-nettkroken-1-mnt
mnt-routes:     no-nettkroken-1-mnt
created:        2016-04-21T15:06:15Z
last-modified:  2017-03-23T08:18:32Z
source:         RIPE

organisation:   ORG-NA802-RIPE
org-name:       NETTKROKEN AS
org-type:       LIR
address:        Verksvegen 9A
address:        4735
address:        EVJE
address:        NORWAY
admin-c:        KOF11-RIPE
tech-c:         KOF11-RIPE
tech-c:         JTF8-RIPE
abuse-c:        AR36150-RIPE
mnt-ref:        no-nettkroken-1-mnt
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         no-nettkroken-1-mnt
mnt-ref:        RIPE-NCC-HM-MNT
created:        2016-04-20T07:38:33Z
last-modified:  2017-03-23T08:18:34Z
source:         RIPE # Filtered
phone:          +4788004480

person:         John Terje Flottorp
address:        Verksvegen 9A
address:        4745
address:        BYGLAND
address:        NORWAY
phone:          +4788004480
nic-hdl:        JTF8-RIPE
mnt-by:         no-nettkroken-1-mnt
created:        2016-04-20T07:38:32Z
last-modified:  2016-04-20T07:38:32Z
source:         RIPE

person:         Knut Olav Froeysnes
address:        Verksvegen 9A
address:        4745
address:        BYGLAND
address:        NORWAY
phone:          +4788004480
nic-hdl:        KOF11-RIPE
mnt-by:         no-nettkroken-1-mnt
created:        2016-04-20T07:38:32Z
last-modified:  2016-04-20T07:38:32Z
source:         RIPE

% Information related to '185.148.176.0/22AS3292'

route:          185.148.176.0/22
origin:         AS3292
descr:          NETTKORKEN AS
mnt-routes:     TELE1-NO-MNT
mnt-by:         no-nettkroken-1-mnt
created:        2017-09-03T19:58:28Z
last-modified:  2017-09-13T06:25:36Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.96 (ANGUS)

Ca vient de norvège.

Le 2e contient:

t1tQYQ1
CMR1t1Q

Je ne sais pas s'il est allé plus loin, mais déjà là, je me demande comment il a pu entré jusque là ?
Ce serait si simple que ça ?

Dernière modification par thierryR (13/03/2020 20:13:45)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#2 13/03/2020 20:24:58

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 869

Re : [Résolu] intrusion.

Regarde la date des fichiers pour savoir depuis quant il est là. Tu peux aussi regarder ton historique bash de ton utilisateur root.
Check les applications que tu utilises sur ce poste pour déterminer par où il a pu entrer et pour mettre en place un accès ssh sur ta machine. D'ailleurs utilises tu toi même un accès ssh sur ta bécane ? As tu un seul poste chez toi ou plusieurs parce qu'il pourrait venir d'un autre poste. Etc...

Dernière modification par Refuznik (13/03/2020 20:30:32)

Hors ligne

#3 13/03/2020 22:49:18

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Le poste incriminé semble être seul. Il est sous fédora. Il a été attaqué le 25 Février. Depuis j'ai installé un fail2ban, mais je n'ai rien dans les logs. Il me semble que par défaut le firewall n'est pas activé. J'ai aussi un raspberry qui a été attaqué la veille. Là, le fail2ban a bien travaillé. Ces 2 appareils, ne sont pas chez moi. Il y a donc une connexion SSH en place, mais surtout, une connexion permanente pour permettre le reverse SSH à ces 2 appareils.  ( Box 4G). De ce que je comprends, il y aurait eu plusieurs attaques directement de l'extérieur. La box fait une redirection de port, mais je me demande s'il est venu en SSH ou simplement par le port 80 ou autre. Le bash history ne remonte pas assez loin pour me donner des infos. C'est bien curieux tout ça.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#4 14/03/2020 10:32:18

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] intrusion.

Tu peux reinstaller ta machine compromise (pour éviter tout backdoor), et changer tes mots de passe (enfin il vaut mieux dire phrase de passe maintenant). Avais tu laissé le ssh sur le port 22?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#5 14/03/2020 12:03:55

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Sur le LAN il est en 22 mais pas en extérieur. Je ne sais pas si c'est gênant.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#6 14/03/2020 12:06:57

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] intrusion.

les attaques viennent de l'exterieur donc c'est mieux si le ssh n'est pas en 22 de ce côté. Mais bon s'ils sont rentré ça serait bien de comprendre comment. Mot de passe < à 8 caractères ? des services en écoute ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#7 14/03/2020 12:08:50

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 312

Re : [Résolu] intrusion.

thierryR a écrit :

...Il me semble que par défaut le firewall n'est pas activé...Le bash history ne remonte pas assez loin pour me donner des infos.

1) le firewall a dû être désactivé par le cracker
2) normal, le cracker efface normalement ses traces...
hélas rien de curieux !
regarde s'il n'y a pas un processus qui tourne
Gérard


F33, Kde/plasma, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#8 14/03/2020 12:32:09

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Je vois une fragilité incroyable dans les systemes. Si tu relis la commande history tu y retrouves les commandes ssh pour te balader partout. comme tu es un user autoriser tes clés ne servent plus à rien. Les numéros de ports sont donnés. C'est juste un régal pour le craker.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#9 14/03/2020 12:43:40

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] intrusion.

J'ai rien compris. Par définition une installation Fedora est sécurisée et ne craint pas grand chose. Les angles d'attaques sont les passwords souvent trop faible, l'utilisation abusive du compte root, et les services exposés.

Quel est le type de la machine compromise ? C'est le raspberry ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#10 14/03/2020 12:51:11

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Pour le mot de passe ( réécrit par *********)  il représente celui utilisé sur wordbiz (scrabble en ligne). Visiblement ce serveur s'est fait cracker. Pour l'IP c'est, je pense, un intermédiaire (PC virussé) Je vais surveiller ce PC et essayer de guetter les processus qui tourneraient en tâche de fond. Y a t-il un historique du lancement de ces tâches ? (Oui je sais un bon cracker efface normalement ses traces...) mais on ne sais jamais !


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#11 14/03/2020 13:07:26

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] intrusion.

ok donc on comprend mieux comment ils sont rentrer. La règle c'est de ne jamais utiliser plusieurs fois un mot de passe. Ou en tout cas ne pas mixer leur diffusion (ex un mot de passe utilisateur système, à ne pas utiliser sur un site).

Par contre une fois que tu auras fini de creuser, n'oublie pas de formatter et reinstaller.

une commande utile dans ton cas:

 sudo rpm -qVa

qui va comparer les sommes de controles qui sont stockés dans les RPM et celles de tes fichiers. S'ils ont été modifiés, tu le verras (symbole M me semble). Car comme tu dis un bon cracker efface ses traces, mais il peut encore mieux remplacer certains binaires utilisés courrament pour reinfecter ton système, ou masquer ces traces. Cas courant, la commande ps qui n'affichera pas les démons backdoor.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#12 14/03/2020 13:17:22

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

madko a écrit :

J'ai rien compris. Par définition une installation Fedora est sécurisée et ne craint pas grand chose. Les angles d'attaques sont les passwords souvent trop faible, l'utilisation abusive du compte root, et les services exposés.

Quel est le type de la machine compromise ? C'est le raspberry ?

C'est un PC de bureau qui est la cible de l'attaque, car pour le raspberry c'était la veille. Ils ont été banni par le fail2ban.

2 fichiers ont été déposé dans le /home donc le PC a bien été intrusé. (Je viens d'inventer un nouveau mot)
De là on peut relire facilement les historiques bash et donc on a toutes les commandes, port, clés pour circuler partout. Un simple mot de passe semble bien fragile. Je pense que fail2ban est un bon complément indispensable.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#13 14/03/2020 14:21:49

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Voila le tableau de traduction:

S la taille (Size) du fichier diffère

M le Mode diffère (inclut les permissions et le type du fichier)

5 la somme MD5 diffère

D Le numéro de périphérique (Device) majeur/mineur diffère

L Le chemin renvoyé par readLink(2) diffère

U L'Utilisateur propriétaire diffère

G Le Groupe propriétaire diffère

T La date de dernière modification (mTime) diffère

Et voila le résultat:

..5....T.    /var/lib/selinux/targeted/active/commit_num
S.5....T.    /var/lib/selinux/targeted/active/file_contexts
.......T.    /var/lib/selinux/targeted/active/homedir_template
S.5....T.    /var/lib/selinux/targeted/active/policy.kern
.......T.    /var/lib/selinux/targeted/active/seusers
.......T.    /var/lib/selinux/targeted/active/users_extra
.M.......  g /usr/share/fonts/sil-padauk/.uuid
.......T.    /boot/efi/EFI/BOOT/BOOTIA32.EFI
.......T.    /boot/efi/EFI/BOOT/fbia32.efi
.......T.    /boot/efi/EFI/fedora/BOOTIA32.CSV
.......T.    /boot/efi/EFI/fedora/mmia32.efi
.......T.    /boot/efi/EFI/fedora/shimia32-fedora.efi
.......T.    /boot/efi/EFI/fedora/shimia32.efi
.M.......  g /usr/share/fonts/sil-abyssinica/.uuid
S.5....T.  c /etc/chrony.conf
.M.......  g /var/lib/PackageKit/transactions.db
.M.......  c /etc/default/grub
.M.......  g /usr/share/fonts/google-noto/.uuid
.M.......  g /usr/share/fonts/lohit-devanagari/.uuid
.M.......  d /usr/share/info/dir.old
.M.......    /boot/efi/System
.M.......    /boot/efi/System/Library
.M.......    /boot/efi/System/Library/CoreServices
.M.....T.    /boot/efi/System/Library/CoreServices/SystemVersion.plist
.M.....T.    /boot/efi/mach_kernel
.M.......  g /usr/share/fonts/julietaula-montserrat/.uuid
.M.......  g /boot/System.map-5.5.7-200.fc31.x86_64
.M.......  g /boot/initramfs-5.5.7-200.fc31.x86_64.img
.M.......  g /usr/share/fonts/gnu-free/.uuid
.M.......  g /usr/share/fonts/lohit-telugu/.uuid
.M.......  g /usr/share/fonts/dejavu/.uuid
.M.......  g /usr/share/fonts/lyx/.uuid
.M.......  g /usr/share/fonts/google-noto-cjk/.uuid
.M.......  g /usr/share/fonts/lohit-kannada/.uuid
.M.......    /boot/efi/EFI
.......T.    /boot/efi/EFI/fedora/grubia32.efi
.M.......  g /usr/share/fonts/google-noto-cjk/.uuid
.M.......  g /usr/share/fonts/lohit-odia/.uuid
.M.......  g /run/dbus
.M.......  c /etc/fstab
S.5....T.  c /etc/printcap
.M....G..  g /var/log/lastlog
.M.......  g /boot/System.map-5.5.6-201.fc31.x86_64
.M.......  g /boot/initramfs-5.5.6-201.fc31.x86_64.img
.M.......  g /usr/share/fonts/dejavu/.uuid
.M.......  g /usr/share/fonts/thai-scalable/.uuid
.M.......  g /usr/share/fonts/lohit-gujarati/.uuid
.M.......  g /var/lib/plymouth/boot-duration
.M.......  g /boot/System.map-5.5.8-200.fc31.x86_64
.M.......  g /boot/initramfs-5.5.8-200.fc31.x86_64.img
.M.......  g /usr/share/fonts/cantarell/.uuid
.M.......  g /usr/share/fonts/aajohan-comfortaa/.uuid
.M.......  g /usr/share/fonts/sil-mingzat/.uuid
S.5....T.  c /etc/fail2ban/jail.conf
.M.......  g /usr/share/fonts/gnu-free/.uuid
.M.......  g /usr/share/fonts/paktype-naskh-basic/.uuid
.M.......  c /etc/hostname
.M.......  c /etc/locale.conf
.M.......  c /etc/machine-id
.M.......  g /var/log/btmp
.M....G..  g /var/log/journal
.M.......  g /usr/share/fonts/dejavu/.uuid
.M.......  g /usr/share/fonts/gnu-free/.uuid
.M.......  g /usr/share/fonts/paratype-pt-sans/.uuid
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/postlogin
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/cups/cups-browsed.conf
.M.......  g /usr/share/fonts/adobe-source-code-pro/.uuid
.M.......  g /usr/share/fonts/lohit-tamil/.uuid
.....UG..  g /var/run/avahi-daemon
.M.......  g /run/lock/ppp
.M.......  g /run/ppp
.M.......  g /var/lib/dnf
.M.......  g /usr/share/fonts/google-droid/.uuid
S.5....T.  c /etc/ssh/sshd_config
.M.......  g /usr/share/fonts/lohit-assamese/.uuid
.M.......  g /usr/share/fonts/stix/.uuid
.M.......  g /var/lib/selinux/targeted/active/modules/200/mysql
.M.......  g /usr/share/fonts/google-noto-emoji/.uuid
.M.......  g /usr/share/fonts/sil-nuosu/.uuid
S.5....T.  c /var/lib/unbound/root.key
.M.......  g /usr/share/fonts/jomolhari/.uuid
.M.......  g /etc/udev/hwdb.bin
.M.......  c /etc/vconsole.conf
.M.......  g /var/lib/systemd/random-seed
.M.......  g /var/lock/iscsi
.M.......  g /var/lock/iscsi/lock
.......T.    /boot/efi/EFI/fedora/gcdia32.efi
.M.......  g /usr/share/fonts/khmeros/.uuid
.M.......  g /usr/share/fonts/lohit-gurmukhi/.uuid
.M.......  g /usr/share/fonts/lohit-bengali/.uuid
.......T.    /boot/efi/EFI/BOOT/BOOTX64.EFI
.......T.    /boot/efi/EFI/BOOT/fbx64.efi
.......T.    /boot/efi/EFI/fedora/BOOTX64.CSV
.......T.    /boot/efi/EFI/fedora/mmx64.efi
.......T.    /boot/efi/EFI/fedora/shim.efi
.......T.    /boot/efi/EFI/fedora/shimx64-fedora.efi
.......T.    /boot/efi/EFI/fedora/shimx64.efi
.M....G..  g /var/log/lastlog
.M.......    /var/lib/AccountsService/icons
.M.......  g /usr/share/fonts/smc-meera/.uuid
S.5....T.  c /etc/sddm.conf
......G..    /var/run/sddm
.M.......  g /etc/crypto-policies/back-ends/nss.config

Dernière modification par thierryR (14/03/2020 14:22:50)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#14 14/03/2020 14:29:24

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Par exemple dans chrony on a 1 différence:

cat /etc/chrony.conf 
# These servers were defined in the installation:
server box iburst

Faudrait il penser que la box aurait été modifiée ?


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#15 14/03/2020 15:46:30

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] intrusion.

non pourquoi ?

Par contre dans les modif, pam et sshd_config ça semble plus grave. Ne traine pas trop avant de reinstaller, et utilise encore un nouveau mot de passe pour la nouvelle installation.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#16 14/03/2020 18:46:38

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

OK c'est noté. Merci. sshd_config, c'est moi qui l'ai modifié pour supprimer les mots de passe.
pam par contre, je ne sais pas.

Pour la box je me demandais car dans chrony.conf on a

server box iburst

au lieu de

pool 2.fedora.pool.ntp.org iburst

Dernière modification par thierryR (14/03/2020 23:57:46)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#17 15/03/2020 18:34:31

cezame
Membre
Lieu : Arlon près du triangle BFL
Inscription : 24/10/2016
Messages : 374

Re : [Résolu] intrusion.

J'ai trouvé ceci pour essayer de détecter une intrusion suivi de cette page.
Si cela peut aider ???

Dernière modification par cezame (15/03/2020 18:50:20)

Hors ligne

#18 15/03/2020 18:48:07

ptitdernier
Membre
Lieu : de retour en occitanie
Inscription : 19/09/2006
Messages : 1 195

Re : [Résolu] intrusion.

cezame a écrit :

J'ai trouvé ceci pour essayer de détecter une intrusion suivi de cette page.
Si cela peut aider ???

La bonne adresse du 1er lien est celle-la


MSI GE60 2PE Apache Pro - 16 Go - Intel core i7 4720 2,6 GHz - nVidia GTX860M - Cinnamon
CM ASUS PRIME B250M-K - Intel core I5-7500 3,4 Ghz - 8 Go DDRA Corsair vengence LPX 2400Mhz

Hors ligne

#19 15/03/2020 18:49:48

cezame
Membre
Lieu : Arlon près du triangle BFL
Inscription : 24/10/2016
Messages : 374

Re : [Résolu] intrusion.

ptitdernier a écrit :
cezame a écrit :

J'ai trouvé ceci pour essayer de détecter une intrusion suivi de cette page.
Si cela peut aider ???

La bonne adresse du 1er lien est celle-la

Merci, je corrige.

Hors ligne

#20 15/03/2020 21:37:09

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Aujourd'hui, fin de l'enquète. J'ai réinstallé le systeme. Par contre sur la box je trouve des ports ouverts:

8000/tcp  open     http-alt
8443/tcp  open     https-alt
49153/tcp open     unknown

A votre avis, est ce bien normal de voir ça ?
EDIT: Je viens de faire un
cat /etc/services
et ces ports ne sont pas ouvert ni par le PC ni mon raspberry. Ce doit être un android.

Par contre je lis le lien qui m'est donné. Il y a un truc que je m'explique pas:

cat /etc/passwd |grep pi
pi:x:1000:1000:,,,:/home/pi:/bin/false

Par cette commande j'interdit toute console bash à pi
Mais visiblement ça ne l’empêche pas de se logguer.

w
 21:32:00 up 14 min,  4 users,  load average: 0,36, 0,25, 0,26
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
pi       tty7     :0               21:17   14:50   2.60s  1.03s /usr/bin/lxsession -s LXDE-pi -e LXDE
thierry  pts/1    37.170.229.235   21:31    0.00s  0.94s  0.06s w

J'ai donc rebooté le raspi mais la connexion revient automatiquement.

Dernière modification par thierryR (15/03/2020 22:38:14)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#21 15/03/2020 22:07:15

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 869

Re : [Résolu] intrusion.

Bah non si tu n'as pas les services associés.
https://www.speedguide.net/port.php?port=8000
https://www.speedguide.net/port.php?port=8443
https://www.speedguide.net/port.php?port=49153

Chose que tu peux faire c'est de désactiver l'ouverture automatique des ports sur la box en fonction de ce que tu utilises si tu as cette fonctionnalité entre autres Upnp.

Dernière modification par Refuznik (15/03/2020 22:11:35)

Hors ligne

#22 15/03/2020 23:00:22

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

Je traque mon utilisateur pi qui n'a rien à faire là:
Il utilise les services suivants:

sudo ps -fp $(pgrep -u pi)
UID        PID  PPID  C STIME TTY      STAT   TIME CMD
pi         499     1  0 21:17 ?        Ss     0:01 /lib/systemd/systemd --user
pi         502   499  0 21:17 ?        S      0:00 (sd-pam)
pi         535   519  0 21:18 ?        Ssl    0:01 /usr/bin/lxsession -s LXDE-pi -e LXDE
pi         546   499  0 21:18 ?        Ss     0:00 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --system
pi         570   535  0 21:18 ?        Ss     0:00 /usr/bin/ssh-agent x-session-manager
pi         582   499  0 21:18 ?        Ssl    0:00 /usr/lib/gvfs/gvfsd
pi         595   499  0 21:18 ?        Sl     0:00 /usr/lib/gvfs/gvfsd-fuse /run/user/1000/gvfs -f -o big_writes
pi         623   535  0 21:18 ?        S      0:01 openbox --config-file /home/pi/.config/openbox/lxde-pi-rc.xml
pi         625   535  0 21:18 ?        Sl     0:00 lxpolkit
pi         628   535  0 21:18 ?        Sl     0:09 lxpanel --profile LXDE-pi
pi         632   535  0 21:18 ?        Sl     0:05 pcmanfm --desktop --profile LXDE-pi
pi         657     1  0 21:18 ?        Ss     0:00 /usr/bin/ssh-agent -s
pi         748   499  0 21:18 ?        Ssl    0:00 /usr/lib/gvfs/gvfs-udisks2-volume-monitor
pi         759     1  0 21:18 ?        Sl     0:00 /usr/lib/menu-cache/menu-cached /run/user/1000/menu-cached-:0
pi         764   499  0 21:18 ?        Ssl    0:00 /usr/lib/gvfs/gvfs-gphoto2-volume-monitor
pi         768   499  0 21:18 ?        Ssl    0:00 /usr/lib/gvfs/gvfs-goa-volume-monitor
pi         777   499  0 21:18 ?        Ssl    0:00 /usr/lib/gvfs/gvfs-mtp-volume-monitor
pi         781   499  0 21:18 ?        Ssl    0:00 /usr/lib/gvfs/gvfs-afc-volume-monitor
pi         810   582  0 21:18 ?        Sl     0:00 /usr/lib/gvfs/gvfsd-trash --spawner :1.4 /org/gtk/gvfs/exec_spaw/0

Ça semble non compromettant. On dirait juste un utilisateur graphique sans autre conséquence. Peut être un défaut de config de raspi-config

Dernière modification par thierryR (15/03/2020 23:08:15)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#23 15/03/2020 23:20:27

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

J'ai pris la solution radicale:
J'ai fermé tous les services

 sudo killall -KILL -u pi

Puis je l'ai supprimé:

sudo userdel -r pi
userdel: pi mail spool (/var/mail/pi) not found

Mais je garde le lien super précieux pour un novice comme moi. Je surveille la bête.

Le 25 février et ce n'est pas un hasard.

ac -dp

Feb 25  total       25.19
        pi                                  60.66
        thierry                              1.27

J'ai le début des anomalies sur le fichier. 60 Heures dans la journée...

En fait cet utilisateur pi que je n'ai pas mis en place, s'est connecté au travers du tunnel reverse ssh. Mais visiblement il n'est pas allé plus loin. Pourtant j'avais mis une ligne AllowUsers dans sshd_config ??? Faut-il alors rajouter un AllowDeny pi

Plus je relis le lien que vous m'avez donné et plus je me dis que ça devrait faire l'objet d'un chapitre dans le wiki. Son sujet a 2 ans, j'ai peur qu'il disparaisse.

Dernière modification par thierryR (15/03/2020 23:54:25)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#24 16/03/2020 09:16:13

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] intrusion.

Alors ça ne concerne plus Fedora, mais si sur ton raspeberry tu as mis une distro qui fournit de base un utilisateur pi avec un mot de passe, et que tu ne l'a jamais désactivé, il n'y a pas à chercher plus loin.

Attention le /etc/services ce n'est que des info, ça ne sert à rien.

De quoi tu veux qu'on parle dans le wiki ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#25 16/03/2020 11:26:24

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 767

Re : [Résolu] intrusion.

madko a écrit :

De quoi tu veux qu'on parle dans le wiki ?

Je voulais qu'on fasse une page sur l'intrusion avec toutes les commandes possibles pour repérer des anomalies. Un peu comme celle là: https://homputersecurity.com/2018/03/10 … -de-linux/


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

Pied de page des forums