[Web] Connexion bloquée par une page (action ?) malveillante

VinsS · Février 21, 2016, 4:01am

Bonjour,

Je suis extrêmement perplexe devant mon problème, depuis 6 ans que je suis sous Linux, je n’ai jamais rencontré de problème d’intrusion dans mon système.

Je suis sous Debian-6.0.1 64bits

Le problème.

Toute activité requérant un accès internet est systématiquement bloquée par une page de publicité.

Exemples:

Avec Epiphany, quoique je rentre dans la zone de saisie d’url est remplacé par l’url de cette page intruse.

J’utilise un logiciel de gestion d’image qui permet de géolocaliser ses photos avec OpenStreetMap ou Google, la zone d’affichage reste imperturbablement vide les url étant détournées vers cette page. Elle ne s’affiche pas mais m’empêche d’utiliser mon appli.

Plus fort encore, en ligne de commande je veux télécharger un paquet.
J’utilise donc wget voici ce qui se passe:

vincent@bacoudian:~/Bureau$ wget oqapy.eu/releases/oqapy-1.0_ … 116.tar.gz
–2012-01-08 05:51:37-- oqapy.eu/releases/oqapy-1.0_ … 116.tar.gz
Résolution de oqapy.eu…. 212.85.158.4
Connexion vers oqapy.eu|212.85.158.4|:80…connecté.
requête HTTP transmise, en attente de la réponse…302 Moved Temporarily
Emplacement: belgacom.portal.fon.com/SAGBEL0 … B8C1BDBB07 [suivant]
–2012-01-08 05:51:37-- belgacom.portal.fon.com/SAGBEL0 … B8C1BDBB07
Résolution de belgacom.portal.fon.com… 31.25.212.3
Connexion vers belgacom.portal.fon.com|31.25.212.3|:443…connecté.
requête HTTP transmise, en attente de la réponse…302 Found
Emplacement: belgacom.portal.fon.com/en/belgacom [suivant]
–2012-01-08 05:51:37-- belgacom.portal.fon.com/en/belgacom
Connexion vers belgacom.portal.fon.com|31.25.212.3|:443…connecté.
requête HTTP transmise, en attente de la réponse…200 OK
Longueur: non spécifié [text/html]
Sauvegarde en : «oqapy-1.0_beta_rev.116.tar.gz.1»

Je télécharge donc sur le site oqapy.eu et l’on peut voir, à la ligne 5, le détournement de la connexion.
L’objet téléchargé n’est évidement pas celui attendu.

J’ai alors essayer de pinger le site oqapy

C’est pas fini, avec Synaptic je veux installer un paquet et j’obtiens cette erreur, avec un étrange message en français:

Vous comprendrez que je parle de malveillance.

Je vois difficilement ce que j’aurais pu faire moi-même pour me coller cette m…de, je ne touche jamais à mes fichiers de config.

Ma dernière activité sur Epiphany a été de naviguer sur ce forum.

Je ne suis pas très au fait des configurations network, quels fichiers devrais-je visiter, virer ?

Merci de vos conseils

Edit: j’utilise wicd au lieu de Network manager.

P_tit_g · Février 21, 2016, 4:01am

Bonjour,

Tu es connecté en wifi ?? Vérifies que tu sois sur le bon point d’accès, car on dirait que tu te connectes via un hotspot fon.

VinsS · Février 21, 2016, 4:01am

Mon panneau Wicd Network Manager me montre le réseau filaire connecté par défaut.

Ensuite vient la liste des routeurs wifi captable de chez moi, je ne suis connecté sur aucun d’eux.
J’en vois deux qui s’appelle FON_BEGACOM effectivement et qui ne sont pas protégés.

Mais manifestement, je n’y suis pas connecté.

VinsS · Février 21, 2016, 4:01am

J’aurais dut essayer en premier, j’ai enlevé la connexion RJ45 de mon pc et je n’ai plus aucun accès à rien. Donc je confirme filaire.

VinsS · Février 21, 2016, 4:01am

Je n’avais jamais fait attention à cela auparavant, la fenêtre d’Epiphany n’a pas le nom d’Epiphany dans sa barre de titre mais “Captive Portal”.

Quelqu’un connait ce truc au nom suspect ?

P_tit_g · Février 21, 2016, 4:01am

Que donne (en root) :

[code]# ifconfig

iwconfig[/code]

?

P_tit_g · Février 21, 2016, 4:01am

Captive Portal (ou portail captif) est utilisé pour forcer l’affichage une page web spéciale. C’est notamment utilisé par les hotspots wifi pour l’authentification.

VinsS · Février 21, 2016, 4:01am

ifconfig

vincent@bacoudian:~$ sudo ifconfig
[sudo] password for vincent:
eth0 Link encap:Ethernet HWaddr 64:31:50:7f:c9:03
inet adr:192.168.1.57 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::6631:50ff:fe7f:c903/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1112 errors:0 dropped:0 overruns:0 frame:0
TX packets:895 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:1250310 (1.1 MiB) TX bytes:95546 (93.3 KiB)
Interruption:29 Adresse de base:0x8000

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:60 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:4748 (4.6 KiB) TX bytes:4748 (4.6 KiB)

wlan0 Link encap:Ethernet HWaddr e0:2a:82:50:d5:c1
inet adr:192.168.182.5 Bcast:192.168.182.15 Masque:255.255.255.240
adr inet6: fe80::e22a:82ff:fe50:d5c1/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:751356 errors:0 dropped:0 overruns:0 frame:0
TX packets:2857 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:107399149 (102.4 MiB) TX bytes:382992 (374.0 KiB)
Interruption:17

iwconfig

P_tit_g · Février 21, 2016, 4:01am

Il semblerait donc que tu ais, en plus de la connexion filaire, une connexion wifi sur FON_BELGACOM.
Pour désactiver la connexion wifi (en root) :

VinsS · Février 21, 2016, 4:01am

Je passe d’un pc à l’autre, tu t’en doute.
Donc j’ai regardé le contenu de /etc/network/interfaces

J’ai tout commenté sauf

Et cela semble être rentré dans l’ordre. Je suppose qu’avec ta commande aussi.

Mais il a tout de même fallut que ma config soit modifiée à un moment ou l’autre, et je suppose que cela pourra réapparaître à tous moments.

En tous état de cause, merci de ton aide.

P_tit_g · Février 21, 2016, 4:01am

Pas nécessaire, cela peut être du à l’arrivé d’un nouveau réseau wifi ouvert.

En ayant commenté la ligne auto wlan0 dans le fichier interfaces, ton wifi ne devrait plus se connecter automatiquement (mais Network manager et autre pourraient eux connecter ton wifi).

Avec plaisirs.