[resolu] trafic louche sur ppp0 : residu de ver windows lol
trafic louche sur ppp0 : residu de ver windows lol [resolu] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 17-11-2003 à 07:34:17
Nous avons
- le NTP (service mise a jour heure/date) c'est pas le plus grave mais ne l'aurais-tu pas configuré en serveur ?
- le netbios (t'aurais pas installé samba serveur des fois)
- le microsoft-ds (itou samba) pour moi le plus dangereux avec netbios
- ftp, smtp, www, sunrpc : en as-tu vraiment besoin
- les ports 32793, 623 ... emule, client msn, autre ???
- le ssh en as-tu vraiment besoin en mode serveur ?
Perso je préfère ethereal pour la capture de paquet ip, je le trouve plus clair et permet de mieux suivre un trafic donné.
Message édité par avv le 17-11-2003 à 07:38:14
Marsh Posté le 17-11-2003 à 10:25:48
| tomate77 a écrit : salut, |
c'est marrant que tu poses la question, je voulais le faire moi aussi.
J'ai apparemment le même problème (enfin si c'est un problème).
J'ai installé snort et acidlab sur ma passerelle et la majeure partie des paquets louches sont des "BAD LOOPBACK TRAFFIC".
Ce sont des paquets de 127.0.0.1:80 destinés à mon ip publique (ports variant de 1100 à 1800) avec les flags tcp ACK et RST.
acidlab me sort un lien vers un pdf qui parle d'egress filtering: http://www.sans.org/rr/papers/index.php?id=1059
je vois pas le rapport 
donc je suis preneur de toute info à ce sujet 
Message édité par nikosaka le 17-11-2003 à 10:27:59
Marsh Posté le 17-11-2003 à 12:37:07
| nikosaka a écrit : |
oui c est exactement ca
donc les ports dst sont completement aleatoires et c un pb 
mais je n arrive pas a tracer le process ki recoie ces paquets
Message édité par Tomate le 17-11-2003 à 12:38:01
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 12:37:50
| avv a écrit : Nous avons |
les ports sont aleatoires en dst
de plus, tous les paquets sont identiques (2 differents je crois)
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 12:47:31
déjà si tu fermes ton port 80 sur l'interface loopback (aucune raison qu'une émission en 213 ne pointe vers ta 127.0.0.1), tu n'auras plus les paquets acknowledge de 127 vers 213.
Si la 213.103.109.124 est vraiment ton IP ppp fournie par ton provider, alors un processus client (port 1xxx) sur cette IP (donc sur ta box) essaie d'ouvrir une connexion sur le 127.0.0.1:80. A toi de trouver lequel.
Marsh Posté le 17-11-2003 à 12:50:21
| bilbo24 a écrit : déjà si tu fermes ton port 80 sur l'interface loopback (aucune raison qu'une émission en 213 ne pointe vers ta 127.0.0.1), tu n'auras plus les paquets acknowledge de 127 vers 213. |
c est ce k on essaie de trouver depuis un bout de tps
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 12:56:40
first, ferme tout ce qui set pas par pitié, et ce sur tous les ports (ntp, rpc, ftp ...) les uns après les autres.
Ne garde que ta connexion cua et ton www pour qu'il continue à émettre des ACK.
ensuite surveille les dump à chaque fermeture de service.
Rem : les ps -edf, pstree et top sont aussi bien venus pour voir l'activité. Tu as aussi tcpdump pour dumper tes paquets
Marsh Posté le 17-11-2003 à 13:04:16
Les ports réception sont aléatoires parce que ce sont des processus CLIENTS qui INITIENT la connexion vers ton 80, ils sont tous >1024. Principe d'une transaction de base avec abandon = CLIENT SYN - SRV WWW ACK/SYN - CLIENT ACK/RST goodbye ...
Le processus client ferme alors son port IP et le prochain processus client aura un autre numéro deport > 1024
Marsh Posté le 17-11-2003 à 13:09:49
| bilbo24 a écrit : first, ferme tout ce qui set pas par pitié, et ce sur tous les ports (ntp, rpc, ftp ...) les uns après les autres. |
le port 80 n est pas celui de mon apache
car meme sans apache de lance ca continue
j ai fait un tcpdump hier soir en ayant killé presque tous les services, et ca continuait kan meme
Message édité par Tomate le 17-11-2003 à 13:10:14
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 13:17:39
Ben pour moi ça :
tcp 0 0 *:www *:* LISTEN
ça veut dire que t'as un processus serveur sur port 80.
--> telnet 127.0.0.1 80 et tu verras qui répond....
Marsh Posté le 17-11-2003 à 13:18:48
| bilbo24 a écrit : Ben pour moi ça : |
nan mais je sais ke j ai apache
le truc c est ke meme s il est coupé, ca continue
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 13:19:33
Tu peux faire un runlevel pour connaître ton init level, aller dans le rcX.d de ce runlevel et nous lister le contenu du rep + nous refiler un ps -edf, un pstree et un top de ta box au passage, ça nous éclairera plus.
Marsh Posté le 17-11-2003 à 13:27:08
| bilbo24 a écrit : Tu peux faire un runlevel pour connaître ton init level, aller dans le rcX.d de ce runlevel et nous lister le contenu du rep + nous refiler un ps -edf, un pstree et un top de ta box au passage, ça nous éclairera plus. |
runlevel 2 
bon, rc2.d :
root@tomate:/etc/rc2.d$ ls |
les process en cours :
root@tomate:~$ ps -edf |
Message édité par Tomate le 17-11-2003 à 13:27:47
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:12:45
Bon,
tu peux couper apache et dumper les accès entrants vers 80 (les SYN, pas afficher les ACK comme dans ton msg ci-dessus) ?
Marsh Posté le 17-11-2003 à 14:14:03
| bilbo24 a écrit : Bon, |
ceux sont les memes ke ceux ke j ai donnes ds mon 1er post
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:18:44
Ben euh là je vois plus : à part si tu t'ai fait rootkiter (ouarf), en tcp/ip ça n'existe pas les ACK sans SYN.
Si tu coupes ton apache et que le netstat te donne un www toujours actif, alors telnet 127.0.0.1 80 ça donne quoi ?
Marsh Posté le 17-11-2003 à 14:22:06
sinon, essaie de regarder avec lsof ou fuser quels processus accedent aux ports qui t'interessent
Marsh Posté le 17-11-2003 à 14:31:18
si il s'est fait rootkiter netstat et compagnie sont sans doute vérolés, donc tous les test là ne servent à rien.
Marsh Posté le 17-11-2003 à 14:36:33
tu peux toujours essayer chkrootkit mais sur ma debian testing, il me donne des resultats bizarres (sans doute un bug avec procps)
Marsh Posté le 17-11-2003 à 14:38:34
ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu
Message édité par void_ppc le 17-11-2003 à 14:38:45
Marsh Posté le 17-11-2003 à 14:42:11
avant de parler de chrootkit, regardez donc les process qui ont ouvert /dev/ppp0 ou qui ont des sockets sur les ports incriminés
lsof / fuser
Marsh Posté le 17-11-2003 à 14:42:17
| bilbo24 a écrit : Ben euh là je vois plus : à part si tu t'ai fait rootkiter (ouarf), en tcp/ip ça n'existe pas les ACK sans SYN. |
si je coupe apache, je n ai plus le port 80 en ecoute avec netstat
mais ca continue
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:42:56
| void_ppc a écrit : ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu |
hein ?
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:43:43
| void_ppc a écrit : ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu |
ben il suffirait de le reinstaller a coup de apt-get.
mais ce n'est pas un rootkit.
un petit coup de google sur mes log de snort ("BAD-TRAFFIC loopback traffic" ) me renvoie pas mal de réponses, et la plupart parle de spoof.
Je viens de vérifier mon script iptables et il est vrai qu'a aucun moment je n'interdit les adresses ip non routable sur mon interface publique
Marsh Posté le 17-11-2003 à 14:45:27
| nikosaka a écrit : |
j ai surtout l impression ke c est du trafic interne, mais j arrive pas a savoir ki fait ca
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:49:53
| tomate77 a écrit : j ai surtout l impression ke c est du trafic interne, mais j arrive pas a savoir ki fait ca |
c'est vrai que pour du spoofing, je vois pas l'interet de se connecter a un port >1024 qui de plus est n'est pas ouvert
Marsh Posté le 17-11-2003 à 14:51:40
non je plaisante (mais on sait jamais...)
Le telnet 80 ça a donné quoi quand apache est down ?
Si tu te fais spoofer avec des paquets mal formés ton appli répondra par un RST de 127.0.0.1:80 vers l'extérieur ou bien tu auras une réponse ICMP malformed packet (donc pas émise par 80).
Ethereal c'est bien...
Marsh Posté le 17-11-2003 à 14:52:23
| nikosaka a écrit : |
j avais un trafic enorme sur lo il y a pas si longtemps : 60Mo en klk heures
j ai l impression ke ca venait du bind chrooté, car la il ne l est plus, et j ai plus rien sur lo (avant je voyais passer un nb important de trafic avec le port 53)
mais la, je trouve pas
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:52:58
| bilbo24 a écrit : non je plaisante (mais on sait jamais...) |
attends je m y mets
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:54:11
root@tomate:~$ /etc/init.d/apache stop |
comme ca c est clair
mais ....
root@tomate:~$ tcpdump -xX -i ppp0 host 127.0.0.1 |
![[:sisicaivrai]](https://forum-images.hardware.fr/images/perso/sisicaivrai.gif "[:sisicaivrai]")
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 14:57:45
homard m'a tué. Ca commence à pincer...
fuser /dev/ppp0 ?
Marsh Posté le 17-11-2003 à 15:01:42
| bilbo24 a écrit : homard m'a tué. Ca commence à pincer... |
root@tomate:~$ fuser /dev/ppp0 |
![[:joce]](https://forum-images.hardware.fr/images/perso/joce.gif "[:joce]")
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 15:04:04
| bilbo24 a écrit : ls /dev/pp* |
root@tomate:/dev$ fuser /dev/ppp |
moue, ca me dis pas grand chose
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 15:12:56
tomate77 a écrit :
|
pourquoi? c'est pas un process id ?
Marsh Posté le 17-11-2003 à 15:13:54
| nikosaka a écrit : |
arf oui suis je bete
ca correspond a pppd, ce ki est normal
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 15:17:02
voila ce k il reste kan j ai vire presque tous les services :
root@tomate:/dev$ ps faux |
root@tomate:/dev$ tcpdump -xX -i ppp0 host 127.0.0.1 |
---------------
:: Light is Right ::
Marsh Posté le 17-11-2003 à 15:24:27
bon, en coupant l acces au LAN (j ai debranche le RJ45, merci -+ ), ca continue
---------------
:: Light is Right ::
Sujets relatifs:
- Pb de trafic tres important sur le loopback
- Je veux supprimer ma partition windows et étendre la linux
- [MDK9.2] alsa & webcam philips... RESOLU :)
- Apres install sur nouveau HDD, plus moyen de booter windows
- Cherche soft cryptage qui marche sous linux et windows
- Réseau entre windows 2000 et windows 98
- Réseau entre windows 2000 et windows 98
- reboot d'un linux via un windows
- windows 2000 vers redhat fraichement instale
- démarrage automatique saoulant [resolu]
Marsh Posté le 17-11-2003 à 01:23:56
salut,
depuis ke j ai installe snort, j ai decouvert ke j avais du trafic bizarre sur ppp0 :
root@tomate:~$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
01:20:44.246462 127.0.0.1.www > 213.103.109.124.1647: R 0:0(0) ack 1697120257 win 0
0x0000 4500 0028 4212 0000 7e06 38d9 7f00 0001 E..(B...~.8.....
0x0010 d567 6d7c 0050 066f 0000 0000 6528 0001 .gm|.P.o....e(..
0x0020 5014 0000 8203 0000 P.......
01:20:50.406445 127.0.0.1.www > 213.103.109.124.1835: R 0:0(0) ack 938278913 win 0
0x0000 4500 0028 60b9 0000 7e06 1a32 7f00 0001 E..(`...~..2....
0x0010 d567 6d7c 0050 072b 0000 0000 37ed 0001 .gm|.P.+....7...
0x0020 5014 0000 ae82 0000 P.......
01:20:54.676480 127.0.0.1.www > 213.103.109.124.1336: R 0:0(0) ack 1476657153 win 0
0x0000 4500 0028 42f4 0000 7e06 37f7 7f00 0001 E..(B...~.7.....
0x0010 d567 6d7c 0050 0538 0000 0000 5804 0001 .gm|.P.8....X...
0x0020 5014 0000 905e 0000 P....^..
01:21:16.006449 127.0.0.1.www > 213.103.109.124.1254: R 0:0(0) ack 56557569 win 0
0x0000 4500 0028 2068 0000 7e06 5a83 7f00 0001 E..(.h..~.Z.....
0x0010 d567 6d7c 0050 04e6 0000 0000 035f 0001 .gm|.P......._..
0x0020 5014 0000 e555 0000 P....U..
01:21:17.726450 127.0.0.1.www > 213.103.109.124.1407: R 0:0(0) ack 1676279809 win 0
0x0000 4500 0028 4e5b 0000 7e06 2c90 7f00 0001 E..(N[..~.,.....
0x0010 d567 6d7c 0050 057f 0000 0000 63ea 0001 .gm|.P......c...
0x0020 5014 0000 8431 0000 P....1..
l ip en 213 est mon ip externe
pourtant netstat me sort ca :
root@tomate:~$ netstat -aeev
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
tcp 0 0 *:2049 *:* LISTEN root 79569
tcp 0 0 *:swat *:* LISTEN root 358
tcp 0 0 *:time *:* LISTEN root 355
tcp 0 0 *:discard *:* LISTEN root 352
tcp 0 0 *:netbios-ssn *:* LISTEN root 81094
tcp 0 0 *:daytime *:* LISTEN root 354
tcp 0 0 *:sunrpc *:* LISTEN root 79432
tcp 0 0 *:www *:* LISTEN root 77983
tcp 0 0 *:14000 *:* LISTEN root 1958
tcp 0 0 *:auth *:* LISTEN root 357
tcp 0 0 *:626 *:* LISTEN root 79706
tcp 0 0 tomate.homelinux:domain *:* LISTEN root 77970
tcp 0 0 *:ftp *:* LISTEN root 356
tcp 0 0 *:smtp *:* LISTEN root 78593
tcp 0 0 localhost:953 *:* LISTEN root 77973
tcp 0 0 localhost:6010 *:* LISTEN tomate 85639
tcp 0 0 *:microsoft-ds *:* LISTEN root 81093
tcp6 0 0 tomate.homelinux.o:pop3 *:* LISTEN root 78724
tcp6 0 0 tomate.homelinux.:imap2 *:* LISTEN root 78715
tcp6 0 0 *:ssh *:* LISTEN root 912
tcp6 0 0 ip6-localhost:6010 *:* LISTEN tomate 85638
tcp6 0 576 tomate.homelinux.or:ssh tomate.tomate.hom:33294 ESTABLISHEDroot 85615
udp 0 0 *:2049 *:* root 79566
udp 0 0 tomate.homel:netbios-ns *:* root 81087
udp 0 0 *:netbios-ns *:* root 81084
udp 0 0 *:discard *:* root 353
udp 0 0 tomate.home:netbios-dgm *:* root 81088
udp 0 0 *:netbios-dgm *:* root 81085
udp 0 0 *:32793 *:* root 77971
udp 0 0 tomate.homelinux:domain *:* root 77969
udp 0 0 *:623 *:* root 79701
udp 0 0 *:sunrpc *:* root 79431
udp 0 0 d213-103-109-124.cu:ntp *:* root 80818
udp 0 0 tomate.homelinux.or:ntp *:* root 80817
udp 0 0 localhost:ntp *:* root 80816
udp 0 0 *:ntp *:* root 80815
udp6 0 0 *:32794 *:* root 77972
donc rien d anormal
donc comment savoir ki genere ce trafic (en fait j ai l impression ke ce sont des reponses mais a koi et pour ki ?
voilou, help
Message édité par Tomate le 17-11-2003 à 17:11:31
---------------
:: Light is Right ::