[resolu] trafic louche sur ppp0 : residu de ver windows lol

trafic louche sur ppp0 : residu de ver windows lol [resolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 17-11-2003 à 01:23:56    

salut,
 
depuis ke j ai installe snort, j ai decouvert ke j avais du trafic bizarre sur ppp0 :
 

root@tomate:~$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
01:20:44.246462 127.0.0.1.www > 213.103.109.124.1647: R 0:0(0) ack 1697120257 win 0
0x0000   4500 0028 4212 0000 7e06 38d9 7f00 0001        E..(B...~.8.....
0x0010   d567 6d7c 0050 066f 0000 0000 6528 0001        .gm|.P.o....e(..
0x0020   5014 0000 8203 0000                            P.......
01:20:50.406445 127.0.0.1.www > 213.103.109.124.1835: R 0:0(0) ack 938278913 win 0
0x0000   4500 0028 60b9 0000 7e06 1a32 7f00 0001        E..(`...~..2....
0x0010   d567 6d7c 0050 072b 0000 0000 37ed 0001        .gm|.P.+....7...
0x0020   5014 0000 ae82 0000                            P.......
01:20:54.676480 127.0.0.1.www > 213.103.109.124.1336: R 0:0(0) ack 1476657153 win 0
0x0000   4500 0028 42f4 0000 7e06 37f7 7f00 0001        E..(B...~.7.....
0x0010   d567 6d7c 0050 0538 0000 0000 5804 0001        .gm|.P.8....X...
0x0020   5014 0000 905e 0000                            P....^..
01:21:16.006449 127.0.0.1.www > 213.103.109.124.1254: R 0:0(0) ack 56557569 win 0
0x0000   4500 0028 2068 0000 7e06 5a83 7f00 0001        E..(.h..~.Z.....
0x0010   d567 6d7c 0050 04e6 0000 0000 035f 0001        .gm|.P......._..
0x0020   5014 0000 e555 0000                            P....U..
01:21:17.726450 127.0.0.1.www > 213.103.109.124.1407: R 0:0(0) ack 1676279809 win 0
0x0000   4500 0028 4e5b 0000 7e06 2c90 7f00 0001        E..(N[..~.,.....
0x0010   d567 6d7c 0050 057f 0000 0000 63ea 0001        .gm|.P......c...
0x0020   5014 0000 8431 0000                            P....1..


 
l ip en 213 est mon ip externe
 
pourtant netstat me sort ca :
 

root@tomate:~$ netstat -aeev
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      
tcp        0      0 *:2049                  *:*                     LISTEN     root       79569      
tcp        0      0 *:swat                  *:*                     LISTEN     root       358        
tcp        0      0 *:time                  *:*                     LISTEN     root       355        
tcp        0      0 *:discard               *:*                     LISTEN     root       352        
tcp        0      0 *:netbios-ssn           *:*                     LISTEN     root       81094      
tcp        0      0 *:daytime               *:*                     LISTEN     root       354        
tcp        0      0 *:sunrpc                *:*                     LISTEN     root       79432      
tcp        0      0 *:www                   *:*                     LISTEN     root       77983      
tcp        0      0 *:14000                 *:*                     LISTEN     root       1958        
tcp        0      0 *:auth                  *:*                     LISTEN     root       357        
tcp        0      0 *:626                   *:*                     LISTEN     root       79706      
tcp        0      0 tomate.homelinux:domain *:*                     LISTEN     root       77970      
tcp        0      0 *:ftp                   *:*                     LISTEN     root       356        
tcp        0      0 *:smtp                  *:*                     LISTEN     root       78593      
tcp        0      0 localhost:953           *:*                     LISTEN     root       77973      
tcp        0      0 localhost:6010          *:*                     LISTEN     tomate     85639      
tcp        0      0 *:microsoft-ds          *:*                     LISTEN     root       81093      
tcp6       0      0 tomate.homelinux.o:pop3 *:*                     LISTEN     root       78724      
tcp6       0      0 tomate.homelinux.:imap2 *:*                     LISTEN     root       78715      
tcp6       0      0 *:ssh                   *:*                     LISTEN     root       912        
tcp6       0      0 ip6-localhost:6010      *:*                     LISTEN     tomate     85638      
tcp6       0    576 tomate.homelinux.or:ssh tomate.tomate.hom:33294 ESTABLISHEDroot       85615      
udp        0      0 *:2049                  *:*                                root       79566      
udp        0      0 tomate.homel:netbios-ns *:*                                root       81087      
udp        0      0 *:netbios-ns            *:*                                root       81084      
udp        0      0 *:discard               *:*                                root       353        
udp        0      0 tomate.home:netbios-dgm *:*                                root       81088      
udp        0      0 *:netbios-dgm           *:*                                root       81085      
udp        0      0 *:32793                 *:*                                root       77971      
udp        0      0 tomate.homelinux:domain *:*                                root       77969      
udp        0      0 *:623                   *:*                                root       79701      
udp        0      0 *:sunrpc                *:*                                root       79431      
udp        0      0 d213-103-109-124.cu:ntp *:*                                root       80818      
udp        0      0 tomate.homelinux.or:ntp *:*                                root       80817      
udp        0      0 localhost:ntp           *:*                                root       80816      
udp        0      0 *:ntp                   *:*                                root       80815      
udp6       0      0 *:32794                 *:*                                root       77972      


 
donc rien d anormal :/
 
donc comment savoir ki genere ce trafic (en fait j ai l impression ke ce sont des reponses mais a koi et pour ki ? :??: )
 
 
voilou, help :(


Message édité par Tomate le 17-11-2003 à 17:11:31

---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 01:23:56   

Reply

Marsh Posté le 17-11-2003 à 07:34:17    

Nous avons  
- le NTP (service mise a jour heure/date) c'est pas le plus grave mais ne l'aurais-tu pas configuré en serveur ?
 
- le netbios (t'aurais pas installé samba serveur des fois)  
- le microsoft-ds (itou samba) pour moi le plus dangereux avec netbios
 
- ftp, smtp, www, sunrpc : en as-tu vraiment besoin
 
- les ports 32793, 623 ... emule, client msn, autre ???
 
- le ssh en as-tu vraiment besoin en mode serveur ?
 
Perso je préfère ethereal pour la capture de paquet ip, je le trouve plus clair et permet de mieux suivre un trafic donné.


Message édité par avv le 17-11-2003 à 07:38:14
Reply

Marsh Posté le 17-11-2003 à 10:25:48    

tomate77 a écrit :

salut,
 
depuis ke j ai installe snort, j ai decouvert ke j avais du trafic bizarre sur ppp0 :
...
 
donc comment savoir ki genere ce trafic (en fait j ai l impression ke ce sont des reponses mais a koi et pour ki ? :??: )
 
 
voilou, help :(
 
 


 
c'est marrant que tu poses la question, je voulais le faire moi aussi.
J'ai apparemment le même problème (enfin si c'est un problème).
J'ai installé snort et acidlab sur ma passerelle et la majeure partie des paquets louches sont des "BAD LOOPBACK TRAFFIC".
Ce sont des paquets de 127.0.0.1:80 destinés à mon ip publique (ports variant de 1100 à 1800) avec les flags tcp ACK et RST.
 
acidlab me sort un lien vers un pdf qui parle d'egress filtering: http://www.sans.org/rr/papers/index.php?id=1059
je vois pas le rapport  :??:  
 
donc je suis preneur de toute info à ce sujet  :D


Message édité par nikosaka le 17-11-2003 à 10:27:59
Reply

Marsh Posté le 17-11-2003 à 12:37:07    

nikosaka a écrit :


 
c'est marrant que tu poses la question, je voulais le faire moi aussi.
J'ai apparemment le même problème (enfin si c'est un problème).
J'ai installé snort et acidlab sur ma passerelle et la majeure partie des paquets louches sont des "BAD LOOPBACK TRAFFIC".
Ce sont des paquets de 127.0.0.1:80 destinés à mon ip publique (ports variant de 1100 à 1800) avec les flags tcp ACK et RST.
 
acidlab me sort un lien vers un pdf qui parle d'egress filtering: http://www.sans.org/rr/papers/index.php?id=1059
je vois pas le rapport  :??:  
 
donc je suis preneur de toute info à ce sujet  :D

oui c est exactement ca
 
donc les ports dst sont completement aleatoires et c un pb :/
 
mais je n arrive pas a tracer le process ki recoie ces paquets :/


Message édité par Tomate le 17-11-2003 à 12:38:01

---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 12:37:50    

avv a écrit :

Nous avons  
- le NTP (service mise a jour heure/date) c'est pas le plus grave mais ne l'aurais-tu pas configuré en serveur ?
 
- le netbios (t'aurais pas installé samba serveur des fois)  
- le microsoft-ds (itou samba) pour moi le plus dangereux avec netbios
 
- ftp, smtp, www, sunrpc : en as-tu vraiment besoin
 
- les ports 32793, 623 ... emule, client msn, autre ???
 
- le ssh en as-tu vraiment besoin en mode serveur ?
 
Perso je préfère ethereal pour la capture de paquet ip, je le trouve plus clair et permet de mieux suivre un trafic donné.


les ports sont aleatoires en dst
de plus, tous les paquets sont identiques (2 differents je crois)


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 12:47:31    

déjà si tu fermes ton port 80 sur l'interface loopback (aucune raison qu'une émission en 213 ne pointe vers ta 127.0.0.1), tu n'auras plus les paquets acknowledge de 127 vers 213.
Si la 213.103.109.124 est vraiment ton IP ppp fournie par ton provider, alors un processus client (port 1xxx) sur cette IP (donc sur ta box) essaie d'ouvrir une connexion sur le 127.0.0.1:80. A toi de trouver lequel.

Reply

Marsh Posté le 17-11-2003 à 12:50:21    

bilbo24 a écrit :

déjà si tu fermes ton port 80 sur l'interface loopback (aucune raison qu'une émission en 213 ne pointe vers ta 127.0.0.1), tu n'auras plus les paquets acknowledge de 127 vers 213.
Si la 213.103.109.124 est vraiment ton IP ppp fournie par ton provider, alors un processus client (port 1xxx) sur cette IP (donc sur ta box) essaie d'ouvrir une connexion sur le 127.0.0.1:80. A toi de trouver lequel.


 
c est ce k on essaie de trouver depuis un bout de tps :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 12:56:40    

first, ferme tout ce qui set pas par pitié, et ce sur tous les ports (ntp, rpc, ftp ...) les uns après les autres.
Ne garde que ta connexion cua et ton www pour qu'il continue à émettre des ACK.
ensuite surveille les dump à chaque fermeture de service.
Rem : les ps -edf, pstree et top sont aussi bien venus pour voir l'activité. Tu as aussi tcpdump pour dumper tes paquets

Reply

Marsh Posté le 17-11-2003 à 13:04:16    

Les ports réception sont aléatoires parce que ce sont des processus CLIENTS qui INITIENT la connexion vers ton 80, ils sont tous >1024. Principe d'une transaction de base avec abandon = CLIENT SYN - SRV WWW ACK/SYN - CLIENT ACK/RST goodbye ...
Le processus client ferme alors son port IP et le prochain processus client aura un autre numéro deport > 1024

Reply

Marsh Posté le 17-11-2003 à 13:09:49    

bilbo24 a écrit :

first, ferme tout ce qui set pas par pitié, et ce sur tous les ports (ntp, rpc, ftp ...) les uns après les autres.
Ne garde que ta connexion cua et ton www pour qu'il continue à émettre des ACK.
ensuite surveille les dump à chaque fermeture de service.
Rem : les ps -edf, pstree et top sont aussi bien venus pour voir l'activité. Tu as aussi tcpdump pour dumper tes paquets

le port 80 n est pas celui de mon apache :D
car meme sans apache de lance ca continue
 
j ai fait un tcpdump hier soir en ayant killé presque tous les services, et ca continuait kan meme :/


Message édité par Tomate le 17-11-2003 à 13:10:14

---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 13:09:49   

Reply

Marsh Posté le 17-11-2003 à 13:17:39    

Ben pour moi ça :
 
tcp        0      0 *:www                   *:*                     LISTEN
 
ça veut dire que t'as un processus serveur sur port 80.
--> telnet 127.0.0.1 80 et tu verras qui répond....

Reply

Marsh Posté le 17-11-2003 à 13:18:48    

bilbo24 a écrit :

Ben pour moi ça :
 
tcp        0      0 *:www                   *:*                     LISTEN
 
ça veut dire que t'as un processus serveur sur port 80.
--> telnet 127.0.0.1 80 et tu verras qui répond....
 

nan mais je sais ke j ai apache :D
 
le truc c est ke meme s il est coupé, ca continue


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 13:19:33    

Tu peux faire un runlevel pour connaître ton init level, aller dans le rcX.d de ce runlevel et nous lister le contenu du rep + nous refiler un ps -edf, un pstree et un top de ta box au passage, ça nous éclairera plus.

Reply

Marsh Posté le 17-11-2003 à 13:27:08    

bilbo24 a écrit :

Tu peux faire un runlevel pour connaître ton init level, aller dans le rcX.d de ce runlevel et nous lister le contenu du rep + nous refiler un ps -edf, un pstree et un top de ta box au passage, ça nous éclairera plus.

runlevel 2 ;)
 
bon, rc2.d :
 

root@tomate:/etc/rc2.d$ ls
S10sysklogd            S20ddclient  S20nfs-kernel-server  S20sysstat          S90start_adsl   S99rmnologin
S11klogd               S20exim      S20postfix            S21nfs-common       S91apache       S99stop-bootlogd
S14ppp                 S20grsec     S20pure-ftpd          S23ntp              S91apache-ssl
S15bind9               S20hdparm    S20samba              S23ntp-simple       S91rc.iptables
S20courier-authdaemon  S20inetd     S20snmpd              S25nfs-user-server  S95htstunnel
S20courier-imap        S20makedev   S20snort              S89atd              S99fetchmail
S20courier-pop         S20mysql     S20ssh                S89cron             S99linuxlogo


 
les process en cours :
 

root@tomate:~$ ps -edf
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 Nov16 ?        00:00:03 init
root         2     1  0 Nov16 ?        00:00:00 [keventd]
root         0     1  0 Nov16 ?        00:00:00 [ksoftirqd_CPU0]
root         0     1  0 Nov16 ?        00:00:09 [kswapd]
root         0     1  0 Nov16 ?        00:00:00 [bdflush]
root         0     1  0 Nov16 ?        00:00:00 [kupdated]
root         7     1  0 Nov16 ?        00:00:00 [jfsIO]
root         8     1  0 Nov16 ?        00:00:00 [jfsCommit]
root         9     1  0 Nov16 ?        00:00:00 [jfsSync]
root        98     1  0 Nov16 ?        00:00:01 [kjournald]
root        99     1  0 Nov16 ?        00:00:06 [kjournald]
root       224     1  0 Nov16 ?        00:00:03 /sbin/klogd
root     17307     1  0 Nov16 ?        00:00:00 /usr/sbin/inetd
root     11453     1  0 Nov16 ?        00:00:02 /usr/bin/perl -w /usr/sbin/ddclient -daemon 300 -syslog
root      3115     1  0 Nov16 ?        00:00:00 /usr/sbin/sshd
daemon     741     1  0 Nov16 ?        00:00:00 /usr/sbin/atd
root     22784     1  0 Nov16 ?        00:00:00 /usr/sbin/cron
root     22653     1  0 Nov16 ?        00:00:00 [UNICORN-SAIF]
root     31044     1  0 Nov16 ?        00:00:05 [UNICORN-INTR]
root     30297     1  0 Nov16 ?        00:00:48 [UNICORN-SM00]
root      5342     1  0 Nov16 ?        00:00:00 [UNICORN-AMU0]
root     18231     1  0 Nov16 ?        00:00:00 /usr/sbin/pppd user toto@tele2.fr
root     20559     1  0 Nov16 ?        00:00:00 hts -F localhost:22 14000
root     20871     1  0 Nov16 tty2     00:00:00 /sbin/getty 38400 tty2
root     26298     1  0 Nov16 tty3     00:00:00 /sbin/getty 38400 tty3
root      5987     1  0 Nov16 tty4     00:00:00 /sbin/getty 38400 tty4
root     31990     1  0 Nov16 tty5     00:00:00 /sbin/getty 38400 tty5
root     23194     1  0 Nov16 tty6     00:00:00 /sbin/getty 38400 tty6
root     18474     1  0 Nov16 tty1     00:00:00 /sbin/getty 38400 tty1
root      9354     1  0 Nov16 ?        00:00:00 /sbin/syslogd
root     32119     1  0 00:04 ?        00:00:00 /usr/sbin/named
root     24629 32119  0 00:04 ?        00:00:00 /usr/sbin/named
root     11681 24629  0 00:04 ?        00:00:02 /usr/sbin/named
root     20741 24629  0 00:04 ?        00:00:00 /usr/sbin/named
root     13913 24629  0 00:04 ?        00:00:00 /usr/sbin/named
root     13617     1  0 00:04 ?        00:00:00 /usr/sbin/apache
www-data 27398 13617  0 00:04 ?        00:00:00 /usr/sbin/apache
www-data 29703 13617  0 00:04 ?        00:00:00 /usr/sbin/apache
www-data 15577 13617  0 00:04 ?        00:00:00 /usr/sbin/apache
www-data 12879 13617  0 00:04 ?        00:00:00 /usr/sbin/apache
www-data 23650 13617  0 00:04 ?        00:00:00 /usr/sbin/apache
root     22711     1  0 00:05 ?        00:00:00 /usr/lib/postfix/master
postfix  20669 22711  0 00:05 ?        00:00:01 nqmgr -l -n qmgr -t fifo -u -c
root     20281     1  0 00:05 ?        00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root      3355 20281  0 00:05 ?        00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root     21265 20281  0 00:05 ?        00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root     22111 20281  0 00:05 ?        00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root     15188 20281  0 00:05 ?        00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root      9042 20281  0 00:05 ?        00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root     32284     1  0 00:05 ?        00:00:00 /usr/sbin/couriertcpd -address=192.168.0.254 -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=4 -pid=/var/run/courier/imapd.pid -nodnslookup -noidentlookup 143 /us
root      5612     1  0 00:05 ?        00:00:00 /usr/sbin/courierlogger imaplogin
root      1688     1  0 00:05 ?        00:00:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d.pid -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=4 -nodnslookup -noidentlookup -address=192.168.0.254 110 /us
root     27215     1  0 00:05 ?        00:00:00 /usr/sbin/courierlogger courierpop3login
daemon   10474     1  0 00:06 ?        00:00:00 /sbin/portmap
root     18252     1  0 00:06 ?        00:00:00 /usr/sbin/rpc.nfsd
root     18254     1  0 00:06 ?        00:00:00 /usr/sbin/rpc.mountd
root     28983     1  0 00:08 ?        00:00:00 /usr/sbin/ntpd
root      8188     1  0 00:09 ?        00:00:00 /usr/sbin/nmbd -D
root     16397     1  0 00:09 ?        00:00:00 /usr/sbin/smbd -D
www-data 21119 13617  0 01:00 ?        00:00:00 /usr/sbin/apache
www-data  1744 13617  0 01:00 ?        00:00:00 /usr/sbin/apache
www-data  4391 13617  0 01:00 ?        00:00:00 /usr/sbin/apache
www-data 21063 13617  0 01:00 ?        00:00:00 /usr/sbin/apache
www-data 24129 13617  0 01:00 ?        00:00:00 /usr/sbin/apache
tomate   30551 32284  0 12:31 ?        00:00:03 /usr/bin/imapd Maildir
root     31606  3115  0 12:31 ?        00:00:00 sshd: tomate [priv]
tomate   29472 31606  0 12:31 ?        00:00:00 sshd: tomate@pts/0
tomate   32363 29472  0 12:31 pts/0    00:00:00 -bash
tomate   28927     1  0 12:31 ?        00:00:00 fetchmail
root      4541 32363  0 13:18 pts/0    00:00:00 bash
postfix  21357 22711  0 13:24 ?        00:00:00 pickup -l -t fifo -u -c


Message édité par Tomate le 17-11-2003 à 13:27:47

---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:12:45    

Bon,
tu peux couper apache et dumper les accès entrants vers 80 (les SYN, pas afficher les ACK comme dans ton msg ci-dessus) ?

Reply

Marsh Posté le 17-11-2003 à 14:14:03    

bilbo24 a écrit :

Bon,
tu peux couper apache et dumper les accès entrants vers 80 (les SYN, pas afficher les ACK comme dans ton msg ci-dessus) ?

ceux sont les memes ke ceux ke j ai donnes ds mon 1er post ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:18:44    

Ben euh là je vois plus : à part si tu t'ai fait rootkiter (ouarf), en tcp/ip ça n'existe pas les ACK sans SYN.
Si tu coupes ton apache et que le netstat te donne un www toujours actif, alors telnet 127.0.0.1 80 ça donne quoi ?

Reply

Marsh Posté le 17-11-2003 à 14:22:06    

sinon, essaie de regarder avec lsof ou fuser quels processus accedent aux ports qui t'interessent

Reply

Marsh Posté le 17-11-2003 à 14:31:18    

si il s'est fait rootkiter netstat et compagnie sont sans doute vérolés, donc tous les test là ne servent à rien.
 

Reply

Marsh Posté le 17-11-2003 à 14:36:33    

tu peux toujours essayer chkrootkit mais sur ma debian testing, il me donne des resultats bizarres (sans doute un bug avec procps)

Reply

Marsh Posté le 17-11-2003 à 14:38:34    

ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu


Message édité par void_ppc le 17-11-2003 à 14:38:45
Reply

Marsh Posté le 17-11-2003 à 14:41:38    

oui bien sur :jap:

Reply

Marsh Posté le 17-11-2003 à 14:42:11    

avant de parler de chrootkit, regardez donc les process qui ont ouvert /dev/ppp0 ou qui ont des sockets sur les ports incriminés ;)
 
lsof / fuser ;)

Reply

Marsh Posté le 17-11-2003 à 14:42:17    

bilbo24 a écrit :

Ben euh là je vois plus : à part si tu t'ai fait rootkiter (ouarf), en tcp/ip ça n'existe pas les ACK sans SYN.
Si tu coupes ton apache et que le netstat te donne un www toujours actif, alors telnet 127.0.0.1 80 ça donne quoi ?

si je coupe apache, je n ai plus le port 80 en ecoute avec netstat ;)
 
mais ca continue :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:42:56    

void_ppc a écrit :

ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu

hein ?


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:43:43    

void_ppc a écrit :

ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu


ben il suffirait de le reinstaller a coup de apt-get.
mais ce n'est pas un rootkit.
un petit coup de google sur mes log de snort ("BAD-TRAFFIC loopback traffic" ) me renvoie pas mal de réponses, et la plupart parle de spoof.
Je viens de vérifier mon script iptables et il est vrai qu'a aucun moment je n'interdit les adresses ip non routable sur mon interface publique

Reply

Marsh Posté le 17-11-2003 à 14:45:27    

nikosaka a écrit :


ben il suffirait de le reinstaller a coup de apt-get.
mais ce n'est pas un rootkit.
un petit coup de google sur mes log de snort ("BAD-TRAFFIC loopback traffic" ) me renvoie pas mal de réponses, et la plupart parle de spoof.
Je viens de vérifier mon script iptables et il est vrai qu'a aucun moment je n'interdit les adresses ip non routable sur mon interface publique

j ai surtout l impression ke c est du trafic interne, mais j arrive pas a savoir ki fait ca :/


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:49:53    

tomate77 a écrit :

j ai surtout l impression ke c est du trafic interne, mais j arrive pas a savoir ki fait ca :/


c'est vrai que pour du spoofing, je vois pas l'interet de se connecter a un port >1024 qui de plus est n'est pas ouvert :/

Reply

Marsh Posté le 17-11-2003 à 14:51:40    

non je plaisante (mais on sait jamais...)
Le telnet 80 ça a donné quoi quand apache est down ?
Si tu te fais spoofer avec des paquets mal formés ton appli répondra par un RST de 127.0.0.1:80 vers l'extérieur ou bien tu auras une réponse ICMP malformed packet (donc pas émise par 80).
Ethereal c'est bien...

Reply

Marsh Posté le 17-11-2003 à 14:52:23    

nikosaka a écrit :


c'est vrai que pour du spoofing, je vois pas l'interet de se connecter a un port >1024 qui de plus est n'est pas ouvert :/

j avais un trafic enorme sur lo il y  a pas si longtemps : 60Mo en klk heures
 
j ai l impression ke ca venait du bind chrooté, car la il ne l est plus, et j ai plus rien sur lo (avant je voyais passer un nb important de trafic avec le port 53)
 
mais la, je trouve pas :/


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:52:58    

bilbo24 a écrit :

non je plaisante (mais on sait jamais...)
Le telnet 80 ça a donné quoi quand apache est down ?
Si tu te fais spoofer avec des paquets mal formés ton appli répondra par un RST de 127.0.0.1:80 vers l'extérieur ou bien tu auras une réponse ICMP malformed packet (donc pas émise par 80).
Ethereal c'est bien...
 

attends je m y mets :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:54:11    

root@tomate:~$ /etc/init.d/apache stop
Stopping web server: apache.
Mon Nov 17 14:52:31
root@tomate:~$ telnet 127.0.0.1 80
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused


 
comme ca c est clair :D
 
mais ....
 
 

root@tomate:~$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
14:53:16.556487 127.0.0.1.www > 213.103.109.124.1499: R 0:0(0) ack 1817444353 win 0
0x0000   4500 0028 f801 0000 8006 80e9 7f00 0001        E..(............
0x0010   d567 6d7c 0050 05db 0000 0000 6c54 0001        .gm|.P......lT..
0x0020   5014 0000 7b6b 0000                            P...{k..
14:53:17.596450 127.0.0.1.www > 213.103.109.124.1213: R 0:0(0) ack 1036189697 win 0
0x0000   4500 0028 7faa 0000 7f06 fa40 7f00 0001        E..(.......@....
0x0010   d567 6d7c 0050 04bd 0000 0000 3dc3 0001        .gm|.P......=...
0x0020   5014 0000 ab1a 0000                            P.......


 
 
[:sisicaivrai]


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 14:57:45    

homard m'a tué. Ca commence à pincer...
fuser /dev/ppp0 ?

Reply

Marsh Posté le 17-11-2003 à 15:01:42    

bilbo24 a écrit :

homard m'a tué. Ca commence à pincer...
fuser /dev/ppp0 ?

root@tomate:~$ fuser /dev/ppp0
/dev/ppp0: No such file or directory


 
[:joce]


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 15:02:24    

ls /dev/pp*

Reply

Marsh Posté le 17-11-2003 à 15:04:04    

bilbo24 a écrit :

ls /dev/pp*

root@tomate:/dev$ fuser /dev/ppp  
/dev/ppp:            18231


 
moue, ca me dis pas grand chose :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 15:12:56    

tomate77 a écrit :

root@tomate:/dev$ fuser /dev/ppp  
/dev/ppp:            18231


 
moue, ca me dis pas grand chose :D


pourquoi? c'est pas un process id ?

Reply

Marsh Posté le 17-11-2003 à 15:13:54    

nikosaka a écrit :


pourquoi? c'est pas un process id ?

arf oui suis je bete :D
 
ca correspond a pppd, ce ki est normal :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 15:17:02    

voila ce k il reste kan j ai vire presque tous les services :
 

root@tomate:/dev$ ps faux
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.3  1548  960 ?        S    Nov16   0:03 init
root         2  0.0  0.0     0    0 ?        SW   Nov16   0:00 [keventd]
root         0  0.0  0.0     0    0 ?        SWN  Nov16   0:00 [ksoftirqd_CPU0]
root         0  0.0  0.0     0    0 ?        SW   Nov16   0:09 [kswapd]
root         0  0.0  0.0     0    0 ?        SW   Nov16   0:00 [bdflush]
root         0  0.0  0.0     0    0 ?        SW   Nov16   0:00 [kupdated]
root         7  0.0  0.0     0    0 ?        SW   Nov16   0:00 [jfsIO]
root         8  0.0  0.0     0    0 ?        SW   Nov16   0:00 [jfsCommit]
root         9  0.0  0.0     0    0 ?        SW   Nov16   0:00 [jfsSync]
root        98  0.0  0.0     0    0 ?        SW   Nov16   0:01 [kjournald]
root        99  0.0  0.0     0    0 ?        SW   Nov16   0:06 [kjournald]
root       224  0.0  0.6  2324 1788 ?        S    Nov16   0:03 /sbin/klogd
root     17307  0.0  0.5  2196 1360 ?        S    Nov16   0:00 /usr/sbin/inetd
root      3115  0.0  0.7  3256 1884 ?        S    Nov16   0:00 /usr/sbin/sshd
root     31606  0.0  1.3  7168 3428 ?        S    12:31   0:00  \_ sshd: tomate [priv]
tomate   29472  0.0  1.4  7308 3680 ?        S    12:31   0:01      \_ sshd: tomate@pts/0
tomate   32363  0.0  1.0  2708 2736 pts/0    S    12:31   0:00          \_ -bash
root      4541  0.0  1.1  2836 2912 pts/0    S    13:18   0:00              \_ bash
root     16134  0.0  0.5  2564 1500 pts/0    R    15:14   0:00                  \_ ps faux
daemon     741  0.0  0.4  1732 1140 ?        S    Nov16   0:00 /usr/sbin/atd
root     22784  0.0  0.5  1788 1324 ?        S    Nov16   0:00 /usr/sbin/cron
root     22653  0.0  0.0     0    0 ?        SW   Nov16   0:00 [UNICORN-SAIF]
root     31044  0.0  0.0     0    0 ?        SW   Nov16   0:06 [UNICORN-INTR]
root     30297  0.0  0.0     0    0 ?        SW   Nov16   0:53 [UNICORN-SM00]
root      5342  0.0  0.0     0    0 ?        SW   Nov16   0:00 [UNICORN-AMU0]
root     18231  0.0  0.6  2436 1616 ?        S    Nov16   0:00 /usr/sbin/pppd user toto@tele2.fr
root     20871  0.0  0.3  1488  916 tty2     S    Nov16   0:00 /sbin/getty 38400 tty2
root     26298  0.0  0.3  1548  912 tty3     S    Nov16   0:00 /sbin/getty 38400 tty3
root      5987  0.0  0.3  1544  916 tty4     S    Nov16   0:00 /sbin/getty 38400 tty4
root     31990  0.0  0.3  1520  916 tty5     S    Nov16   0:00 /sbin/getty 38400 tty5
root     23194  0.0  0.3  1528  916 tty6     S    Nov16   0:00 /sbin/getty 38400 tty6
root     18474  0.0  0.3  1528  916 tty1     S    Nov16   0:00 /sbin/getty 38400 tty1
root      9354  0.0  0.5  2268 1412 ?        S    Nov16   0:00 /sbin/syslogd
root     32119  0.0  1.9 11640 4860 ?        S    00:04   0:00 /usr/sbin/named
root     24629  0.0  1.9 11640 4860 ?        S    00:04   0:00  \_ /usr/sbin/named
root     11681  0.0  1.9 11640 4860 ?        S    00:04   0:03      \_ /usr/sbin/named
root     20741  0.0  1.9 11640 4860 ?        S    00:04   0:00      \_ /usr/sbin/named
root     13913  0.0  1.9 11640 4860 ?        S    00:04   0:00      \_ /usr/sbin/named
 
 
 
 
 
Mon Nov 17 15:14:26
root@tomate:/dev$ netstat -aeev
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      
tcp        0      0 *:swat                  *:*                     LISTEN     root       358        
tcp        0      0 *:time                  *:*                     LISTEN     root       355        
tcp        0      0 *:discard               *:*                     LISTEN     root       352        
tcp        0      0 *:daytime               *:*                     LISTEN     root       354        
tcp        0      0 *:auth                  *:*                     LISTEN     root       357        
tcp        0      0 tomate.homelinux:domain *:*                     LISTEN     root       77970      
tcp        0      0 *:ftp                   *:*                     LISTEN     root       356        
tcp        0      0 localhost:953           *:*                     LISTEN     root       77973      
tcp        0      0 localhost:6010          *:*                     LISTEN     tomate     115356      
tcp6       0      0 *:ssh                   *:*                     LISTEN     root       912        
tcp6       0      0 ip6-localhost:6010      *:*                     LISTEN     tomate     115355      
tcp6       0      0 tomate.homelinux.or:ssh tomate.tomate.hom:32791 ESTABLISHEDroot       115334      
udp        0      0 *:discard               *:*                                root       353        
udp        0      0 *:32793                 *:*                                root       77971      
udp        0      0 tomate.homelinux:domain *:*                                root       77969      
udp6       0      0 *:32794                 *:*                                root       77972      
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  3      [ ]         DGRAM                    40434    /dev/log
unix  3      [ ]         STREAM     CONNECTED     115346    
unix  3      [ ]         STREAM     CONNECTED     115345    
unix  2      [ ]         DGRAM                    77963    
unix  2      [ ]         DGRAM                    1511      
unix  2      [ ]         DGRAM                    260      


 
 

root@tomate:/dev$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
15:15:44.796449 127.0.0.1.www > 213.103.109.124.1426: R 0:0(0) ack 734003201 win 0
0x0000   4500 0028 cfe6 0000 8006 a904 7f00 0001        E..(............
0x0010   d567 6d7c 0050 0592 0000 0000 2bc0 0001        .gm|.P......+...
0x0020   5014 0000 bc48 0000                            P....H..
15:15:58.106448 127.0.0.1.www > 213.103.109.124.1335: R 0:0(0) ack 2015428609 win 0
0x0000   4500 0028 c4d1 0000 8006 b419 7f00 0001        E..(............
0x0010   d567 6d7c 0050 0537 0000 0000 7821 0001        .gm|.P.7....x!..
0x0020   5014 0000 7042 0000                            P...pB..


 
 :fou:


---------------
:: Light is Right ::
Reply

Marsh Posté le 17-11-2003 à 15:24:27    

bon, en coupant l acces au LAN (j ai debranche le RJ45, merci -+ ;)), ca continue


---------------
:: Light is Right ::
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed