Ces scans permanents et indésirables

Pause Café
#1

bonjour,

Mon sniffer détecte du monde qui frappe à ma porte constamment.
Et par curiosisté, j’ai lancé wireshark et ouvert un port (1250 par exemple)
De suite un russe m’a envoyé ce paquet

Internet Protocol, Src: 109-126-23-166.eth.vladlink.net (109.126.23.166), Dst: 192.168.2.100 (192.168.2.100)

User Datagram Protocol, Src Port: 41213 (41213), Dst Port: swldy-sias (1250)

00000000 64 31 3a 61 64 32 3a 69 64 32 30 3a 1d f9 29 d8 d1:ad2:i d20:..). 00000010 13 49 51 f3 d5 13 c0 a6 ed c1 51 9e 0a 10 38 1f .IQ..... ..Q...8. 00000020 39 3a 69 6e 66 6f 5f 68 61 73 68 32 30 3a b2 9f 9:info_h ash20:.. 00000030 75 02 65 f1 93 14 77 56 2d db 1a 26 30 0d 1c e6 u.e...wV -..&0... 00000040 15 e6 65 31 3a 71 39 3a 67 65 74 5f 70 65 65 72 ..e1:q9: get_peer 00000050 73 31 3a 74 34 3a b1 91 de 7c 31 3a 76 34 3a 55 s1:t4:.. .|1:v4:U 00000060 54 62 2a 31 3a 79 31 3a 71 65 Tb*1:y1: qe

Évidement il n’a rien reçu en retour car ma machine est propre.

quelqu’un connaît le fonctionnement et signification de ce code ? (info hash)

#2 

= malware , il essais des trucs le petit russe :wink: :wink: ça s'appelle : injection d'un rootkit, ça scanne grave en ce moment...

= malware , il essais des trucs le petit russe :wink: :wink: ça s’appelle : injection d’un rootkit, ça scanne grave en ce moment…

#3

C’est quoi ton sniffer ? stp

#4

ntop, rien ne lui échappe, il voit absolument tout, même si aucune connexion, un bon complément avec tcpdump en mode promiscuous (ou wireshark)

#5

Merci, je connais deja wireshark, tcpdump, il ne me reste plus qu’a regarder du coté de ntop :wink:

#6

[quote=“Grhim”]00000040 15 e6 65 31 3a 71 39 3a 67 65 74 5f 70 65 65 72 ..e1:q9: get_peer

= malware , il essais des trucs le petit russe :wink: :wink: ça s’appelle : injection d’un rootkit, ça scanne grave en ce moment…[/quote]

tu peux devellopper STP, j’aimerai savoir comment tu parviens à cette conclusion.
avec mon petit niveau de compétences je ne vois q’une requête UDP d’un truc qui s’apparente a du bittorent.

merci de m’eclairer.

#7

ben j’avoue que je pensais la même chose… Une petite recherche montre que c’est du bittorrent:

merit.edu/mail.archives/nanog/msg06401.html

par exemple. la chaine q9:get_peer intervient très souvent.

#8

J’ai trouvé les mêmes références que fran.b en cherchant un peu sur la même chaine.
Le fait que tu sois en ip dynamique serait un élément qui confirmerait cette hypothèse.

#9

il y a du nouveau et pas des moindres:

l’injection commence à faire effet, mon port 1250 est fermé, et pourtant ils arrivent de partout cette fois ci et pompent des paquets, il n’y a pas que les russes, même de france, usa etc…
et je peux vous assurer que j’ai bien fermé mon port 1250 et pourtant il passe. Ce code est vraiment malicieux, je vois partout swldy-sias qui télécharge sur wireshark, c’est dément.
Je me suis remis derrière mon nat, et le calme est revenu.
faites l’expérience depuis une virtual box si vous voulez constater, maintenant j’ai une merde qui se promène dans mon système et rkunter ne détecte rien, j’ai même fait un md5sum de mon système et surprenant rien n’a bougé.
Je vous dirais si après reboot de la machine cela continue.

#10

quote="nykoos"
l’injection commence à faire effet, mon port 1250 est fermé, et pourtant ils arrivent de partout cette fois ci et pompent des paquets, il n’y a pas que les russes, même de france, usa etc…
(…)[/quote]

[quote]Les envahisseurs : ces êtres étranges venus d’une autre planète. Leur destination : la Terre. Leur but : en faire leur univers. David Vincent les a vus. Pour lui, tout a commencé par une nuit sombre, le long d’une route solitaire de campagne, alors qu’il cherchait un raccourci que jamais il ne trouva. Cela a commencé par une auberge abandonnée et par un homme devenu trop las pour continuer sa route. Cela a commencé par l’atterrissage d’un vaisseau venu d’une autre galaxie. Maintenant, David Vincent sait que les envahisseurs sont là, qu’ils ont pris forme humaine et qu’il lui faut convaincre un monde incrédule que le cauchemar a déjà commencé…[/quote] Parano ! :laughing:
Sois plus précis, parceque c’est trop gros pour être crédible, ton histoire: pour ce que j’en connais, un rootkit, on a pas le temps de le voir arriver comme ça juste parcequ’on regarde à ce moment là.

#11

Si tu mets à jour rkhunter et que tu le lances, il te trouvera si un rootkit est présent.
Sauf celui qu’il envoie en faux positif depuis longtemps : Xzibit.
Voir aussi “surveillance”.

#12

Et du coté de tes log, il y a quoi?

#13

Je rejoins les autres : c’est clairement du DHT Bittorrent. La spécification de cette requête particulière se trouve ==> ici <==, ça correspond à 100% (et pour que je dise ça de cette manière, c’est vraiment qu’il n’y a strictement aucun doute possible).

#14

bonjour

ben non là je suis déçu, plus rien ce matin, le calme absolu.
j’ai fait un update de rkhunter et un check et rien à signaler
rien dans les logs, donc le système est propre.

Mais ce qui est le plus étrange, ntop m’ a indiqué jusqu’à 1 ko envoyés à plusieurs adresses via swldy-sias (1250)
(bien envoyé et non recu)
j’ai analysé tous ces paquets (udp et icmp) , rien de significatif, mais c’est l’envoi en masse à différentes adresse qui m’avait surpris, car je le répète: LE PORT 1250 ÉTAIT REFERMÉ, pas de transmission ou bittorrent… de lancé alors pourquoi ce flux ?
ntop est puissant mais en temps réel seulement, pas d’historique. Je vais donc laissé tcpdump avec un filtre de capture sur le port 1250 en permanence pendant plusieurs jours sans ouvrir de client bittorent.

#15

Tu l’as fermé avec un reject ou un drop? Dans le premier cas, à chaque paquet reçu correspond un paquet en réponse et ça te fait un traffic impressionnant. J’avais fait il y a très longtemps (8-9 ans, les tout débuts) un serveur edonkey puis l’avais fermé pour cause de trafic incompatible avec ma bande passante de l’époque. Le résultat avait été catastrophique avec une connexion saturée. Il avait fallu débrancher la ligne et attendre pour changer d’IP.

#16

héhéhe…bien sur que c’est du “peer”…c’est du scan de port sur le 1250…c’est tout…a votre avis …et si le gars t’en voudrais vraiment ca prends du temps mais c’est facilement contournable …

tu devrais utiliser nmap qui donne beaucoup d’info etc…, bref ya pas mal d’outils …faut penser comme les gars qui scannent…peut etre tu lui plait bien looooool
a la base il faudrais savoir ce que tu fais avec ton pc !! dedier au p2p ??

les methodes connues ne manques pas et les manuels le disent explicitement, sois dans ton cas :

mais tu es sous linux et apparement bien “bastiller” :wink: :wink:

:006

au faite icmp est bien off ??

#17

non plus. un scan de port ne ressemble pas à ça, en général ça commence par une requete ICMP, pas par de l’UDP. c’est plus du malware, tu as changé d’avis? :mrgreen:

un peu de lecture: cgsecurity.org/Articles/sotm23/index.html

c’est une requête DHT d’un client bittorent, pas du scanning de port. c’est expliqué dans le lien qu’a fourni syam.

nykoss a probablement hérité de l’ip d’un mec qui “seedait” du bittorent, du coup il se recupere des requêtes de leecher pas remis a jour.

#18

[quote=“Grhim”]les manuels le disent explicitement, sois dans ton cas :

Si tu veux citer des trucs qui se rapportent à son cas (sans en fournir la source, soit dit au passage), faudrait peut-être quand même que ça corresponde réellement à son cas non ? On parle d’UDP là, pas de TCP. :mrgreen:
Il ne faut pas non plus oublier qu’on peut faire tourner n’importe quel service sur n’importe quel port, donc le numéro de port n’est au mieux qu’une vague indication.
En l’occurrence on a le contenu du paquet, et il ne laisse aucun doute possible. Le fait que « ils arrivent de partout cette fois ci » ne fait que le confirmer, vu que c’est le comportement normal du protocole DHT (plein de pairs qui discutent entre eux et s’échangent les adresses des autres pairs connus).

#19

haaa voila , on commence a etre sur la meme vois :slightly_smiling: j’ai penser a ca depuis le debut mais on ne pourrait etre sur que si on connaissais vraiment comment il se sert de son ordi

non, je n’ai pas changer d’avis mais le malware c’est plutot pour windows…il se pourrait aussi qu’il est un fichier video ou autre qui soit tres interressant et essayer de bypasser son systeme pour prendre directement via la puerta del sol ouverte :slightly_smiling: c’est connu aussi …

c’est pourquoi afin de rendre plus difficle les attack etc… de turned off l’icmp …c’est devenue un aspect elementaire de securité pour faire perdre du temps, ca c’est vus aussi pour eviter les attack Ddos…

[vendredi c’est comme lundi]de plus ce n’est pas aujurdhui qu’anonymous veux faire disparaitre de la toile la bourse de new york ?? peut etre on t il besoin de pleins de pc zombie ?? :mrgreen: si ca se trouve nykoss a un dualboot …? [/vendredi c’est comme lundi] :005

meme chose pour tcp ou udp google.com/search?q=1250udp- … swldy-sias

#20

pour ouvrir et fermer le port 1250, j’avais simplement lancé transmission ‘à vide’ sans tracker,
et vérifier avec la commande nmap -p 1-65535 ip_machine que le port était ouvert ou fermé. Ma connection n’était nullement saturée, quelques paquets ne dépassant pas au total 1ko seulement mais ce dont je suis certain c’est que lorsque ce port était fermé, ces paquets sont passés réception udp, émission icmp.
J’ai effectué du P2P donc fort possible que les ip sont des pairs déjà connectés auparavant.
mon ip est static depuis que je suis en dégroupage total, elle ne change plus.