voilà ce qui se passe:
je travaillais sur le parefeu d’un routeur distant quand, paf, ce qui devait arriver arriva: j’ai ouvert bêtement l’input au paquets EN PROVENANCE du port 22, puis, sûr de mon coup, j’active une règle drop par défaut sur l’input 
.
Bon, heureusement, rien n’est censé se réactiver au boot, donc j’ai téléphoné pour qu’on me redémarre la machine.
J’attendais donc tranquillement que mon dyndns me donne la nouvelle adresse de mon routeur (la précèdente ayant été reprise entre temps), quand soudain je réalise: c’est un serveur interne qui fait la mise à jour de dyndns avec un service nt.
Or, je n’ai plus de masquerading actif sur le routeur !
donc, je sais l’adresse wanadoo précèdente, et j’aimerais retrouver ma machine.
J’ai commencé à scanner les adresses proches pour un ssh + “os fingerprinting” avec nmap:sudo nmap -sS -O -PI -PT -p 22 xx.yy.zz.1-254
mais je ne sais pas si l’attribution d’adresse wanadoo se fait sur des tranches de classe C.
Quelqu’un a une idée ?
J’ai bêtement laissé tourner un telnetd (dont j’ai eu besoin sur des windows sans putty) que je n’ai pas eu le temps de désinstaller…
J’aimerais bien VITE resécuriser ma machine, et elle est à 70 bornes !
bon, ça donne rien. je me souviens que j’avais un OS fingerprinting “linux,bsd” et je n’en ai aucun dans mon résultat de scan (même si j’ai trouvé des ssh ouverts).
je ne vais tout de même pas balayer la classe B !
quelqu’un aurait une idée de scan rapide et discret pour ne pas me faire embêter pour scan abusif ?
sudo nmap -sS -sV --osscan_guess -O -P0 xx.yy.zz.1-254 -p 22Si je me souviens bien wanadoo utilise des tranches de classes B et C tu risque de devoir scanner aussi la classe B.
Essaye avec cette option de nmap ca pourra peut etre te donner plus d’info sur les machines scanner et donc te permettre de retrouver la tienne.
le whois m’a donné une frange en x.y.0.0/12.
Je vais tester ton scan
J’ai déjà vu mon ip avec 90.1.YY.ZZ tu peux aussi essayer cette tranche la
j’ai fait un ‘–osscan-limit’ pour être plus doux.
on va voir ce que ça donne
[quote=“Ashgenesis”]J’ai déjà vu mon ip avec 90.1.YY.ZZ tu peux aussi essayer cette tranche la[/quote]oh je pense que ma machine est dans la même frange de whois qu’elle était avant réattribution.
en fait, en affinant un peu, il semble que les machines ‘Acaen-*.abo.wanadoo.fr’ sont sur la frange x.y.160-167.z
Bon, j’ai super honte…
En fait, ma machine n’avait pas bougé d’adresse, c’est juste qu’avec le reboot, la config de sshd, que j’avais laissé en plan (je me la copierais: il ne faut pas faire 10 choses en même temps), n’etait plus correcte 
donc je pouvais toujours chercher une machine avec le ssh d’ouvert…
Heureusement, le telnetd m’a sauvé !
bon, j’ai rajouté post-up iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
pre-down iptables -t nat -R POSTROUTING -o eth1 -j ACCEPT
à mon interface eth0 (je sais, c’est pas trés sécure, mais pour l’instant, j’ai pas configuré ddclient), j’ai corrigé/relancé le sshd sous telnet (j’éspère ne pas avoir été écouté), et sous ssh, j’ai lourdé mon telnetd.
Je peux rebosser.
merci ash.
ça veut dire quoi être écouté ? sérieusement .
ps: moi je t’écoute moi, “il ne faut pas faire 10 chose en même temps” .
c’est simple: quand tu fais un telnet, tout ce qui circule entre le client et le serveur circule en clair.
tiens, lances un ethereal en root, et écoutes ce qui passe sur l’internet devant ta porte. regardes des choses comme pop, telnet, ftp. on voit plein de choses passer sur le net…
et si tu ne captes rien, utilises ta machines avec des operations qui demandent une authentification, recherches tes mots de passe, nom de connection, pour voir si tu ne les vois pas passer en clair.
hello,
Ca veut dire qu’il espere que personne n’as ecouté les frappes de touches qu’il a tapé sinon ils pourront les reproduires et ainsi avoir son mot de passe.
Re-
C’est quand même un peu complexe comme interface ethereal…
Ouaip je vois mieux, mais je comprend toujours pas .
Par exemple, dans Ethereal, où c’est qu’on voit les frappes de touches tappées ?
Si je coche l’option capture files, et que je lance la capture de paquets, que je m’amuse un peu sur amsn, pendant 5 minutes mettons, j’ai la surprise de lire a posteriori dans le fichier de capture ce que j’ai dit … ouaip …
Bon à priori, aucun mot de passe en clair, je me suis déconnecté/reconnecté à amsn pour voir, le pwd n’apparait pas .
En ce qui concerne les touches donc, comment on peut les visualiser dans ce fichier ?
Et, moi là, je m’écoute moi même, mais comment écouter quelqu’un d’autre … (enfin, comment quelqu’un d’autre peut m’écouter si vous prérérez ) ??
[quote=“usinagaz”]Re-
C’est quand même un peu complexe comme interface ethereal…
Ouaip je vois mieux, mais je comprend toujours pas .
Par exemple, dans Ethereal, où c’est qu’on voit les frappes de touches tappées ?
Si je coche l’option capture files, et que je lance la capture de paquets, que je m’amuse un peu sur amsn, pendant 5 minutes mettons, j’ai la surprise de lire a posteriori dans le fichier de capture ce que j’ai dit … ouaip …
Bon à priori, aucun mot de passe en clair, je me suis déconnecté/reconnecté à amsn pour voir, le pwd n’apparait pas .
En ce qui concerne les touches donc, comment on peut les visualiser dans ce fichier ?
Et, moi là, je m’écoute moi même, mais comment écouter quelqu’un d’autre … (enfin, comment quelqu’un d’autre peut m’écouter si vous prérérez ) ??[/quote]Tout ca concerne les reseaux et la securité ainsi que le moyen de la détourner si tu veux plus d’info tu peux ouvrir un nouveau fil pour en discuter 