Bonsoir,

j’étais entrain de travailler normalement jusqu’au moment ou j’entends le ventilo tourné à fond , un top me montre qu’il y a un processus pscan2 qui tourne

top - 22:23:28 up  3:56,  3 users,  load average: 1.19, 1.28, 1.05
Tasks: 126 total,   4 running, 122 sleeping,   0 stopped,   0 zombie
Cpu(s): 21.8%us, 26.2%sy,  0.0%ni, 41.4%id,  0.0%wa,  0.0%hi, 10.6%si,  0.0%st
Mem:   2074856k total,  2004632k used,    70224k free,   140164k buffers
Swap:   979924k total,       56k used,   979868k free,   479340k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                
 8884 root      18  -2  1768  520  432 R  100  0.0   0:23.86 pscan2         

je fais un netstat -tupan et là je vois plein de connexions ouvertes sur le port 22:

...
tcp        0      1 192.168.14.14:48795     78.5.51.89:22           SYN_SENT    -               
tcp        0      1 192.168.14.14:55567     78.5.52.128:22          SYN_SENT    -               
tcp        0      1 192.168.14.14:35055     78.5.52.28:22           SYN_SENT    -               
tcp        0      1 192.168.14.14:55155     78.5.52.217:22          SYN_SENT    -               
tcp        0      0 192.168.14.14:46399     78.5.13.152:22          TIME_WAIT   -               
tcp        0      0 192.168.14.14:41116     78.4.180.97:22          TIME_WAIT   -               
tcp        0      1 192.168.14.14:54315     78.5.55.14:22           SYN_SENT    -               
tcp        0      1 192.168.14.14:42456     78.5.51.147:22          SYN_SENT    -               
tcp        0      0 192.168.14.14:22        188.25.132.192:1734     ESTABLISHED -               
tcp        0      1 192.168.14.14:41330     78.5.54.110:22          SYN_SENT    -               
tcp        0      1 192.168.14.14:50179     78.5.52.12:22           SYN_SENT    -               
tcp        0      1 192.168.14.14:34832     78.5.55.12:22           SYN_SENT    -               
tcp        0      1 192.168.14.14:50132     78.5.50.220:22          SYN_SENT    -               
tcp        0      1 192.168.14.14:59663     78.5.51.132:22          SYN_SENT    -               
tcp        0      1 192.168.14.14:59900     78.5.51.115:22          SYN_SENT    - 
...

la commande who m’indique qu’il y a bien quelqu’un connecté sur ma machine :

reda@spectrum:~$ who
reda     tty1         2009-11-12 18:27
root     pts/1        2009-11-12 21:56 (188.25.132.192)
reda     pts/2        2009-11-12 22:10 (:0.0)

confirmé par la commande w :

reda@spectrum:~$ w
 22:16:23 up  3:49,  3 users,  load average: 1,17, 1,28, 0,92
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
reda     tty1     -                18:27    3:48m 37:30   0.00s /bin/bash /usr/bin/startx
root     pts/1    188.25.132.192   21:56   17:24   4:13   0.00s -bash
reda     pts/2    :0.0             22:10    0.00s  0.16s  0.00s w

En killant la connexion avec l’@ ip 188.25.132.192 que vous voyez juste au dessus, tout s’est rétabli (plus de connexion ssh , plus de process pscan2)

J’ai remarqué aussi que le pirate a changé mon mot de passe qui était facile (mot anglais du dictionnaire ), je ne peux plus me loggué avec su- (heuresuement qu’il me reste sudo)

Je veux savoir comment éradiquer cet intrus ?

Est ce que le fait de changer le mot de passe empêchera le pirate de se connecter ?

Merci à tous de votre aide

Moi qui croyait que Linux était sûr ! et ben là j’ai bien appris une leçon.

sudo su

passwd

et là tu mets un mot de passe sur.

2. Tu empêches la connexion de root par ssh. (Discutable mais bon)

3. Tu changes tous tes mots de passe

4. Tu fais un test d’intégrité de ta machine

5. Tu épluches tes logs

6. Tu apprends que linux est sur mais il faut ne pas faire n’importe quoi.

Merci fran.b pour ton intervention rapide.

j’ai changé mon mot de passe utilisateur et root l’un différent de l’autre s’agissant d’une bonne combinaisons de lettres, chiffres et ponctuations

En même temps j’ai installé chkrootkit, voici le bout de la sortie qui m’intéresse :

...
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          /var/tmp/euro/vuln.txt
/var/tmp/euro/pscan2
Searching for anomalies in shell history files...           Warning: `//home/reda/.qemu_history' file size is zero
Checking `asp'...                                           not infected
...

Comme vous voyez, le pirate a pu installer ses scripts :

reda@spectrum:/etc$ sudo ls /var/tmp/euro/
a  go.sh  nobash.txt  pass.txt	pscan2	pscan2.c  scan.log  screen  screen.tgz	ss  sshd  start  vuln.txt

Je vais les supprimer bien sur mais comment m’assurer qu’il n’y a pas un autre endroit de vulnérabilité car pour moi ces fichiers vont sûrement être appelés par d’autres scripts et à différentes périodes (cron) ?

Au fait fran.b c’est quoi le test d’intégrité ?

Le gars s’acharne sur toi non??

Qu’as tu fais pour mériter ça?

[quote=“M3t4linux”]Le gars s’acharne sur toi non??

Qu’as tu fais pour mériter ça? [/quote]

Oui comme tu dis ! j’avais plus de 850 connections ssh ouvertes vers ses adresses ip

[code]whois 188.25.132.192
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘188.24.0.0 - 188.27.255.255’

inetnum: 188.24.0.0 - 188.27.255.255
netname: RO-RDS-20070529
org: ORG-RA18-RIPE
descr: RCS & RDS SA
country: RO
admin-c: CN19-RIPE
tech-c: RDS-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: AS8708-MNT
mnt-routes: AS8708-MNT
source: RIPE # Filtered

organisation: ORG-RA18-RIPE
org-name: RCS & RDS SA
org-type: LIR
address: Romania Data Systems SA
Ciprian Nica
Forum 2000 Building
71-75 Dr. Staicovici
050557 Bucharest
Romania
phone: +40 21 301 0850
phone: +40 31 400 4243
fax-no: +40 31 400 4207
admin-c: CN19-RIPE
mnt-ref: AS8708-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: Romania Data Systems NOC
address: 71-75 Dr. Staicovici
address: Bucharest / ROMANIA
phone: +40 21 30 10 888
fax-no: +40 21 30 10 892
abuse-mailbox: abuse@rcs-rds.ro
admin-c: CN19-RIPE
admin-c: GEPU1-RIPE
admin-c: SG4300-RIPE
tech-c: CN19-RIPE
tech-c: GEPU1-RIPE
tech-c: SG4300-RIPE
nic-hdl: RDS-RIPE
mnt-by: AS8708-MNT
remarks: ±-------------------------------------------------------------+
remarks: | ABUSE CONTACT: abuse@rcs-rds.ro IN CASE OF HACK ATTACKS, |
remarks: | ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. |
remarks: | !! PLEASE DO NOT CONTACT OTHER PERSONS FOR THESE PROBLEMS !! |
remarks: ±-------------------------------------------------------------+
source: RIPE # Filtered

person: Ciprian Nica
remarks: Senior IP Engineer
remarks: Romania Data Systems
address: Bucharest, Romania
phone: + 40 31 400 42 43
abuse-mailbox: abuse@rcs-rds.ro
remarks: ------------------------------------------------
remarks: | Please don’t send me any abuse complaints. |
remarks: | Use abuse@rcs-rds.ro for that or contact |
remarks: | your service provider or local authorities |
remarks: | !! DO NOT CALL ME REGARDING ABUSE ISSUES !! |
remarks: ------------------------------------------------
nic-hdl: CN19-RIPE
mnt-by: NIMACI-MNT
source: RIPE # Filtered

% Information related to ‘188.24.0.0/14AS8708’

route: 188.24.0.0/14
descr: RDSNET
origin: AS8708
mnt-by: AS8708-MNT
source: RIPE # Filtered[/code]Tu peux lui envoyer un mail si tu as envie.

J’aurais bien aimé voir le contenu des fichiers qu’il a laissé tiens

@eol tu veux dire un mail à son fournisseur de service ? Oui je vais le faire.

Ouais mais attention 99% des cas (non je rigole je connais pas le pourcentage) il ne faut pas se fier aux whois et compagnie

@ymer 1,4 Mo je les mets en attachements.
ce sont ses fichiers que j’ai trouvé dans /var/tmp/

Merci bien

ip spoofing??

Oui : le niveau de sécurité d’un système GNU/Linux est celui de son maillon le plus faible, ici le mot de passe root visiblement. Se faire trouer par une attaque automatique au dictionnaire, ce n’est pas glorieux…

Tu ne peux pas. L’attaquant a eu un accès root, il a donc pu faire tout ce qu’il voulait : installer un rootkit, une backdoor, infecter des exécutables… sans que les détecteurs de rootkits trouvent quelque chose. Ton système a été compromis. La seule option sûre à 100% consiste à sauvegarder les données, tout écraser et réinstaller un système propre.

Non. Si tu regarde bien la sortie de netstat, tu verras que ce sont des connexions lancées depuis ta machine. Une fois compromise, celle-ci cherchait a son tour à compromettre d’autres machines. C’est comme ça que le ver se diffuse.

Oui, il faut signaler l’attaque au responsable du réseau d’origine. Mais il y a de grandes chances pour que la machine source de l’attaque soit elle aussi compromise à l’insu de son propriétaire. Au mieux cela permettra de la mettre hors ligne afin que ses attaques cessent.

Qu’est-ce que tu reproches aux données whois exactement ?

L’IP spoofing d’une connexion TCP entre deux machines qui ne sont pas dans le même réseau est hautement improbable.

Oula rien du tout, je disais ça pour ça :

Qu’en gros ne pas croire que le whois va nous donner des info sur le vilain monsieur…

+1

Et surtout ne pas oublier :

• Sécuriser SSH (ça inclue de choisir des mots de passes SSH impossible à avoir en bruteforce et compagnie)
• Idem pour le root
• Être parano !

C’est pas parce-que tu es sous Linux que tu es forcément en sécurité Tu le sera si tu fais attention à tout.

L’IP spoofing d’une connexion TCP entre deux machines qui ne sont pas dans le même réseau est hautement improbable.[/quote]

Cela signifie que l’IP spoofing n’est permise qu’à l’intérieur d’un réseau local et/ou virtuel?

L’IP spoofing d’une connexion TCP n’est réalisable en pratique que dans deux cas particuliers :

• l’attaquant ne reçoit pas les réponses (envoyées à l’adresse spoofée) mais peut les deviner ; bon courage pour prédire les numéros de séquence des piles TCP/IP actuelles dont celle de Linux, donc on oublie.
• l’attaquant reçoit les réponses, ce qu’il peut réaliser seulement s’il est sur le chemin entre la cible et la machine spoofée (en contrôlant un équipement réseau intermédiaire), ou dans le même réseau que l’une d’elles.

Une première protection c’est d’installer fail2ban. Il existe dans les dépôts de base de Debian.

Salut,

J’ai un peu regardé les fichiers… Je capte pas trop. Quelques scripts… Des fichiers qui ressemblent à des listes de mots (dictionnaires ?), des exécutables…

Un fichier “bash” (bloqué par mon anti-virus sous windows…) Heu je n’ai pas eu envie de mettre les fichiers sur une Debian

Est-ce que quelqu’un peut m’expliquer comment ça fonctionne ce truc ? Pas pour m’en servir pour attaquer pour mieux comprendre comment je pourrais me faire piéger…

Il serait bien aussi que tu utilises des clés pour te connecter à ton serveur ssh plutôt que la simple connexion par mot de passe.

C’est un vieux script (le pscan a été compilé avec gcc 3.2.
Tu aurais apparemment un scanneur et un serveur IRC (?). Le tout est roumain. L’intéressant est un dictionnaire.
Note que dans le fichier nobash.txt, tu as des comptes qui fonctionnent mais sans shell:

[quote]$ ssh test@210.0.203.237
The authenticity of host ‘210.0.203.237 (210.0.203.237)’ can’t be established.
RSA key fingerprint is 83:87:bf:33:ba:c5:af:e2:ff:d9:81:9a:62:f1:c2:58.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘210.0.203.237’ (RSA) to the list of known hosts.
test@210.0.203.237’s password:
Last login: Fri Nov 13 14:25:09 2009 from 59.173.21.94
Could not chdir to home directory /home/iusers/test: No such file or directory
This account is currently not available.
Connection to 210.0.203.237 closed.[/quote]