Ce matin Steam refuse de se connecter

Support Debian
#1

Bonjour,

Ce matin Steam refuse de se connecter, ainsi que tous les sites web contenant le mot “Steam”.
Je pense m’être fait hacker.
La question est: Comment faire pour enlever ce hack ?

edit: Steam fonctionne parfaitement sur les deux autres pc que j’ai chez moi. Celui de mon frère et celui de mes parents.

edit: Voilà ce qu’il se passe lorsque je tente un ping sur un contenant le mot Steam:

slack@x552c:~$ ping store.steampowered.com
PING store.steampowered.com (23.201.108.75) 56(84) bytes of data.
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
ping: sendmsg: Opération non permise
^C
--- store.steampowered.com ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 154ms

Pareil pour un traceroute:

traceroute store.steampowered.com
traceroute to store.steampowered.com (23.201.108.75), 30 hops max, 60 byte packets
send: Opération non permise

En lançant Wireshark, j’ai vu que mon pc essaie de se connecter à cette adresse:
https://ofrontal.zehome.com/

Et sur leur page principale c’est écrit “Go away”

Edit: J’ai tenté un traceroute sur google.fr et c’est la même:

traceroute www.google.fr
traceroute to www.google.fr (74.125.206.94), 30 hops max, 60 byte packets
send: Opération non permise

Sauf que:

traceroute6 www.google.fr
traceroute to www.google.fr (2a00:1450:4007:816::2003), 30 hops max, 80 byte packets
 1  2a01:e34:ee8a:5090::1 (2a01:e34:ee8a:5090::1)  0.292 ms  0.404 ms  0.387 ms
 2  * * *
 3  * * *
 4  2001:4860:1:1:0:3022:0:4 (2001:4860:1:1:0:3022:0:4)  35.542 ms  35.558 ms  37.672 ms
 5  2001:4860:0:1015::1 (2001:4860:0:1015::1)  37.655 ms  39.536 ms  39.526 ms
 6  2001:4860:0:1::1b19 (2001:4860:0:1::1b19)  41.667 ms 2001:4860:0:1::1b1b (2001:4860:0:1::1b1b)  28.855 ms 2001:4860:0:1::1b19 (2001:4860:0:1::1b19)  29.595 ms
 7  par10s33-in-x03.1e100.net (2a00:1450:4007:816::2003)  30.952 ms  32.032 ms  32.032 ms

Fonctionne… Etrange non ?

#2

En faite ça ne se résume pas qu’aux sites qui contiennent le mot “Steam”, mais à plein d’autres sites également. Il y a plein de sites qui ne fonctionnent pas et certain qui fonctionnent.

#3

Déjà, ta résolution est détournée car:

Alors que:

@serveur:~$ host 74.125.206.94
94.206.125.74.in-addr.arpa domain name pointer wk-in-f94.1e100.net.

Donc qu’as tu dans /etc/resolv.conf et /etc/host.conf ?

[edit] sinon, les domaines .zehome.com sont gèrés chez dyndns et permettent une redirection dynamique (utile quand on veut garder l’accés à une ressource qui change d’ip souvent).

#4

Depuis peu, le ping et le traceroute nécessite d’être root…
Par ailleurs derrière quel routeur es tu? Ce que tu dis ressemble furieusement à un proxy non renseigné…

#5

C’est bon ça refonctionne, je n’arrivais pas à redémarrer iptables alors j’ai renommé rules.v4 en rules.v4.old et j’ai redémarrer le système et maintenant j’arrive à me connecter sur les sites contenants le mot “Steam” et surtout celui ci: https://store.steampowered.com/?l=french

Mais pourquoi /etc/init.d/iptables start
Me renvoi:

root@x552c:~# /etc/init.d/iptables start
-bash: /etc/init.d/iptables: Aucun fichier ou dossier de ce type

Ou bien encore:

root@x552c:~# service iptables restart
Failed to restart iptables.service: Unit iptables.service not found.

Ca veut dire quoi ? Que je suis bien hacké ?

# Generated by NetworkManager
nameserver 192.168.0.254
nameserver 2a01:e00::1
nameserver 2a01:e00::2

host.conf:

multi on

Une freebox par ethernet. Et les deux dns v6 de resolv.conf sont ceux de Free.

Edit: Je vous copie/colle mon rules.v4 pour voir si vous y voyez une chose étrange parmis tout ce bazard:

#################################################################
#*mangle
#:PREROUTING ACCEPT [42893:58150932]
#:INPUT ACCEPT [42893:58150932]
#:FORWARD ACCEPT [0:0]
#:OUTPUT ACCEPT [55:4602]
#:POSTROUTING ACCEPT [55:4602]
#COMMIT
##################################################################
#*nat
#:PREROUTING ACCEPT [0:0]
#:INPUT ACCEPT [0:0]
#:OUTPUT ACCEPT [8:628]
#:POSTROUTING ACCEPT [26:1708]
#COMMIT
##################################################################
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 192.168.0.10/32 -p udp -m udp --dport 1900 -j ACCEPT
-A INPUT -s 192.168.0.10/32 -p tcp -m tcp --dport 1900 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -j LSI
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.0.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -i wlan0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "iptables input" --log-level 6
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p udp -m udp --dport 33434 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A FORWARD -p icmp -j LSI
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "iptables forward" --log-level 6
#-A OUTPUT -s 192.168.0.10/32 -p tcp -m tcp --sport 15000 --tcp-flags RST RST -j DROP
##############################################################################
-A OUTBOUND -s 192.168.0.10/32 -d 208.97.177.124/32 -p tcp -m tcp --dport 80 -j NFQUEUE
-A INBOUND -s 208.97.177.124/32 -d 192.168.0.10/32 -p tcp -m tcp --sport 80 -j NFQUEUE
##############################################################################
-A OUTPUT -s 192.168.0.10/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.10/32 -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -o wlan0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "iptables output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -s 212.27.38.253/32 -p udp -m udp --dport 32100 -j ACCEPT
-A INBOUND -s 212.27.38.253/32 -d 192.168.0.10/32 -p tcp -m tcp --sport 554 -j ACCEPT
-A INBOUND -s 192.168.0.10/32 -p tcp -m tcp --dport 15947 -j ACCEPT
-A INBOUND -s 192.168.0.10/32 -p udp -m udp --dport 15947 -j ACCEPT
-A INBOUND -s 192.168.0.254/32 -p udp -m udp --dport 32101 -j ACCEPT
-A INBOUND -p tcp -m tcp --dport 13000 -j ACCEPT
-A INBOUND -p udp -m udp --dport 13000 -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "iptables inbound" --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "iptables inbound" --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "iptables inbound" --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "iptables inbound" --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "iptables outbound" --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Wed Jan  1 00:36:17 2014

edit: Déjà si vous suivez mes topiques, vous savez que j’ai un hacker sur le dos.
Voir dans ce topique: Ce matin la touche entrée de mon clavier ne fonctionne plus

Ou dans celui ci: Impossible de me connecter en root

Donc là je crois que c’est encore lui et qu’il se fou de moi en me faisant sauter mon pare-feu alors que ça ne sert strictement à rien. Je suis presque certain que vous ne trouverez rien d’anormal dans mon rules.v4, le problème vient d’ailleurs.

Par contre, j’aimerais vraiment bien savoir comment rebooter iptables… Toutes les commandes que j’ai trouvé sur le net ne fonctionnent pas !

#6

iptables ne se reboote pas, ce n’est pas un service qui se lance, c’est une partie du noyau.
Tu peux par contre restaurer un fichier de configuration d’iptables exporté avec iptables-save (ton fichier rules.v4) en le rechargeant avec iptables-restore < rules.v4

Du coup, tu as un paquet iptables-persistent qui sauve les règles à l’arret de la machine et les restore au reboot, c’est lui qui fournit un “service” iptables (on devrait plutôt dire un service de restoration des règles) que tu peux arreter (ça fait un iptables-save et un flush) ou démarrer (flush puis iptables-restore), donc vérifie qu’il est là.

Si ta machine est compromise à ce point, alors formate là.

#7

Non ce n’est pas la peine, je l’ai déjà fait il y a quelques temps, mais il a réussi à nouveau à pénétrer mon système. C’est pareil pour le pc de mon frère qui est sous Windows 10.

Pouvez-vous s’il vous plaît quand même jeter un oeil à mon rules.v4 car j’ai tenté de le remettre à ça n’a plus fonctionné à nouveau. Je ne pense pas qu’il y a quelque chose à voir dedans et je crois que c’est plutôt ce hacker qui joue avec moi mais regardez quand même on ne sait jamais.

#8

Finalement non car j’ai fait un whois dessus, et ça appartient bien à Google:

#9

J’ai une autre question.
Pourquoi dans resolv.conf mes deux dns sont en ipv6 alors que chez Free je n’ai pas activé le support ipv6 ?

Sinon dès que je remet rules.v4 en fonction, pleins de site internet ne fonctionnent plus (presque tous). Par exemple Youtube et Wikipedia eux fonctionnent bien.

#10

Bonjour,

Parce que tu as mal configuré l’interface ou que la Freebox balance les DNSv6 via le DHCP.

Tu dois avoir des règles qui posent problème.

#11

Non je ne pense pas, j’ai tout vérifié et je n’ai rien vu d’anormal. Et c’est la même config depuis 2014

#12

Sans doute pas la même version d’iptables depuis tout ce temps… On peut voir ta configuration ?

#13

Je l’ai posté ci dessus

#14

Alors @sk4hrr tu n’as rien vu d’étrange dans mon rules.v4 ?
Perso j’en doute mais bon on ne sait jamais.
Il faut savoir que ce n’est pas moi qui l’ai fait, c’est le parefeu par défaut de Firestarter.
Je l’avais trouvé pas mal fait alors je l’avais conservé même après la désinstallation de Firestarter qui ne fonctionnait plus (je ne sais plus pourquoi) et j’ai ajouté quelques règles dedans avec le temps.

#15

Alors personne n’a de solution pour mon problème ?
Si c’est bien un hacker qui fait tout ça, comment fait-il pour m’empêcher d’utiliser le fichier rules.v4 ?
Dès que je remet le fichier rules.v4, la quasi intégralité des sites web ne sont plus accessibles, soit environ 90% des sites web. A part Youtube et Wikipedia qui fonctionnent nickel.

Personne pour m’aider s’il vous plaît ?

#16

Arrête ta parano, je suis quasi certain que tu n’as pas de hacker:
tu as dû te mettre ça dans la tête à un moment, et depuis, tout ce qui t’arrive, tu le mets sur son dos, ce qui confirme et renforce ton idée paranoïaque.
Un hacker peut éventuellement se réinstaller sur une machine fraîche au moment de l’install en ligne (certainement pas si tu le fais hors ligne avec un cd vérifié), mais pour ça, il faut avoir le contrôle du tuyau ou tu télécharges tes paquets d’install en ayant un accès physique à ta câblerie, ou de l’extérieur en contrôlant ta box ou ton point d’accès wifi (et encore, c’est pas une mince affaire à faire).
Donc si tu l’as reformattée en ne reprenant pas les mêmes passwords, aucune chance, si tu avais un hacker avant, qu’il ai pu se réinstaller.
J’en déduis que tout ça, c’est obsessionnel et n’a sans doute aucune réalité.

Et comme ça revient en boucle dés qu’on te parle de quelque chose, en détournant la discussion du sujet traité, à un moment, les répondants potentiels se lassent et ne te répondent plus…

Ton rules.ipv4 ne semble pas a priori présenter de soucis, mais on ne connait pas tous les éléments sur ce qui dépend de choses extérieures (est ce que les ports standards sont bien utilisés pour tel ou tel service ou est ce que tu utilises de ports alternatifs pour des raisons de filtrage sur la freebox, par exemple).
Bon, mais il est sur sécurisé pour un usage desktop, il bloque tout ce qui sort à quelques rares exceptions, ce qui peut te protéger contre de la fuite de données si tu es compromis, mais ne concerne pas la protection contre les attaques elles mêmes.
Et tout me dit que ton problème vient de l’OUTPUT (au pif)
Débloque ce qui sort en changeant la default policy, dans la section *filter:
:OUTPUT DROP [0:0]
en
:OUTPUT ACCEPT [0:0]

Ensuite, si tu veux remettre le drop plus tard, surveilles ton syslog (ou peut être daemon.log) pour y trouver des lignes parlant de “iptables output”, ce sont les traces qui se déclenchent en output avant d’appliquer la policy par défaut, quand aucune autre règle de filtrage ne s’est appliqué:
tu n’auras plus qu’à ajouter des règles d’ACCEPT pour tout ce qui est du trafic légitime, et remettre le DROP par défaut aprés.
Tu peux aussi faire pareil avec le INPUT et éventuellement le FORWARD, mais ça veut dire que tu désactiveras le blocage par le pare feu le temps que tu diagnostiques où ça bloque.

Mais sincèrement, arrête de mettre ton “hacker” à toutes les sauces, tu n’en as pas.

1 J'aime
#17

Mais si bien sur que j’ai un hacker. J’ai déjà tout expliqué plusieurs fois. La preuve est qu’il m’a créé un compte sur le site etoro en mettant comme pseudo mon pseudo Youtube et comme adresse mail, une autre adresse mail que celle rattachée à mon compte Youtube, et comme numéro de téléphone de contact, il a mis celui de mon frère, pour faire voir qu’il nous avait hacké tout les deux.
Et ça c’est qu’un exemple parmi des tas d’autres…

#18

“Le philosophe est quelqu’un qui doit guérir en lui-même de nombreuses maladies de l’entendement avant de pouvoir parvenir aux saines notions du sens commun.”

“1) IL FAUT COMMENCER PAR L’ERREUR et lui substituer la vérité. 2) C’est à dire qu’il faut découvrir la source d’erreur, sans quoi entendre la vérité ne nous sert à rien. Elle ne peut pénétrer lorsque quelque chose d’autre occupe sa place. 3) Pour persuader quelqu’un de la vérité, il ne suffit pas de constater la vérité, il faut trouver le chemin qui mène de l’erreur à la vérité.”

Ludwig Wittgenstein

1 J'aime
#19

Ca, c’est seulement la preuve qu’un type t’en veut, qu’il connait ton pseudo youtube (c’est peut être d’ailleurs quelqu’un avec qui tu t’es fritté sur yt) et qu’il a le téléphone de ton frère.
Pas forcément les infos les plus dures à trouver, pour un peu qu’il ai une amorce, comme de connaitre ton compte youtube.
Pas qu’il t’a hacké.
Mais bon, pour périphraser @anon97446390: " il n’est pire sourd que celui qui ne veut pas entendre"

Donc ta réponse prouve qu’au moins cette partie là est vraie:
tu as testé les suggestions que je t’ai faites, ou tu veux continuer à t’obséder sur un hacker imaginaire ?

1 J'aime
#20

Ah bon, pourtant le tel de mon frère ne tourne pas partout sur le web, mais null part. Et pour l’avoir encore faudrait-il qu’il connaisse notre de famille. Et pour l’adresse mail qui n’est pas rattachée au compte Youtube, il faut qu’il soit venu sur mon pc pour la connaître, c’est le seul moyen.
Tu m’expliqueras aussi comment nos deux claviers (celui de mon frère et le miens) déconnent en même temps, avec les mêmes touches, à la saisi du mot de passe et dans diverses applications.

Je le ferais plus tard