hello,  
 
depuis un ptit temps, j'ai l'impression que le traffic entrant sortant de mon serveur augmente de manière exagérée.. (passé de 100 megs /jour a 500 en 2 jours..) donc, j'ai fait joujou avec nmap et il m'a sorti ça :  
 
10/tcp     open        unknown
21/tcp     open        ftp
22/tcp     open        ssh
80/tcp     open        http
111/tcp    open        sunrpc
443/tcp    open        https
3306/tcp   open        mysql
10000/tcp  open        snet-sensor-mgmt
 
c quoi ce port 10 qui est ouvert et 111 ?  comment je peux les fermer avec ipchains ?
 
J'ai regardé les logs d'apache et de pureftp, ya rein de louche.. qu'est ce qui pourrait générer du traffic que je ne controle pas ?
Ou je peux regarder pour voir quels programmes / deamons utilisent l'interface reseau ?

 
111 c le port pour rpc.portmap service nis !!
 
10 ?

fuser -n tcp 10

Si tu veux utiliser fuser, ajoute -v,  
fuser -v -n tcp 10
 
Sinon tu peux utiliser lsof  
 
lsof -i:10
 
ce que nmap ne te dis pas ( si je veux savoir quel ports sont ouvert sur ma machine, j'aurais utilisé netstat -at ), c'est qu'il existe l'icmp et l'udp )
 
Si je peut te donner un bon conseil, installe ippl, et configurer le de tel maniere qu'il enregistre meme l'udp

ok, je vais regarder a tout ça ! merci

réponse a fuser :  
 
[root@machine /root]# fuser -v -n tcp 10
 
                     USER        PID ACCESS COMMAND
10/tcp               root        828 f....  httpd
                     root      16620 f....  httpd
                     root      16621 f....  httpd
                     root      16622 f....  httpd
                     root      16623 f....  httpd
                     root      16624 f....  httpd
                     root      16626 f....  httpd
                     root      16856 f....  httpd
                     root      16876 f....  httpd
                     root      16877 f....  httpd
                     root      16942 f....  httpd
                     root      16943 f....  httpd
                     root      16944 f....  httpd
                     root      16945 f....  httpd
                     root      16946 f....  httpd
                     root      17140 f....  httpd
 
 
ça sent mauvais non ?

oui

coment je peux faire le menage la dedans et savoir d'ou ça vient ?
 
Comment je peux savoir a quoi on accede ?
 
Precision : le serveur est derrière un speed touch home => pro et ya pas de regle nat qui redirige le port tcp 10...

utilise lsof
 
il te diras les fichiers qui sont utilisés, ca peut etre une piste...
 
sinon cherche le daemon qui a ouvert c port 10, trouve ca source (d'apres ce ke tu dis c httpd), et regarde la conf pour voir ou ca tappes...
 
enfin bon si tu veux un conseil, si t'as machine est bel et bien compromise, un backup des datas et une reinstall... car tu ne sauras pas par la suite si tu n'as pas un trojan ou je ne sais koi ki tourne...
 
tu avais pas de firewall a priori ? tu devrais...

avec ipchains je sais pas, mais tu devrais faire l'equivalence de ceci :
 
iptables -P INPUT DROP
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
(et ainsi de suite pour les ports que tu veux seulement ouvrir)
 
Si je dis une connerie corrigez moi  

Si tu pense que ca peut etre un trojan essaye ce logiciel "CHKROOTKIT"
http://freshmeat.net/projects/chkrootkit/?topic_id=43
il est pas mal du tout  
@++

bhen j'ai un firewall ipchains... et je pensais que avec le STPro, j'étais bien protégé...
 
je vais installer lsof..
 
et ya des trojans sous linux ? je croyais que c'était virus free jusqu'ici..
 
J'ai essayé de tuer les process incriminés (kill 828) mais évidemment, il a fermé apache...
 
si je fais un nmap sur mon ip "intenet" j'ai  
 
21/tcp     filtered    ftp
22/tcp     filtered    ssh
23/tcp     open        telnet
25/tcp     filtered    smtp
80/tcp     filtered    http
110/tcp    filtered    pop-3
411/tcp    filtered    rmt
1723/tcp   open        pptp
10000/tcp  filtered    snet-sensor-mgmt
 
1723, je me demande ce que c'est...   23, c'est pour le modem
les autres, ils sont redirigés directement sur le serveur..

le htttpd sur le port 10 c'est un peu hummm étonnant

il n'y a pas de bocoup de virus
 
mais quand je dis trojan, c plutot exploit que je voulais dire
 
suffit que t une vieille version d'un daemon (fait un ssh -V par exemple), que cette version soit faillible et ben hop quelqu'un peut prendre le controle de ta machine et lancer un httpd sur le port 10 pour faire autre chose...
 
netstat -apn peut te permettre de voir qui est connecté par rapport a quel processus...
 

Moi j'utilise netstat -vulpt pour voir ce que j'ai comme ports ouverts mais ca revient au même
 

 
Grâce au stateful, iptables lave plus blanc que ipchains
 

 
Ce sont pas des virus. Il arrive qu'on trouve des failles de sécurité dans des démons (ssh, sendmail, apache). Suite à la publication des failles de sécurité de ce genre, les ScR1pT K1ddY3s se mettent à scanner toutes les plages ip d'internet pour essayer de trouver des machines à hacker facilement. Donc si l'administrateur ne patche pas rapidement, il est vulnérable.  Une fois qu'il a trouvé une machine non patchée, en général le H4X0R du dimanche ferme la vulnérabilité (pour pas qu'un autre haxor lui pique sa machine ^^), et installe une backdoor pour pouvoir se connecter facilement.
 

 
Non 1723 c'est le pptp donc effectivement tu as besoin si tu as un vieux modem adsl qui utilise ce protocole.
Le 23 c'est telnet, qui permet de se connecter a distance mais qui n'est pas du tout sécurisé .. enleve le si tu t'en sers pas ou installe ssh

floups : wi, pour le http, je suis aussi assez perplexe parce que le serveur est configuré pour ecouter sur le 80..  et il le fait puisque mes sites repondent...
 
kikoune :  ssh -V :  
OpenSSH_2.5.2p2, SSH protocols 1.5/2.0, OpenSSL 0x0090600f
 
c une redhat 7.1, je crois pas que ce soit une passoire point de vue failles...  Mais je suis pas ue base en securité.. (j'arrive seulement a me debrouiller comme il faut pour les serveurs http, dns, mail...)
 
pour le momment, netstat n'a trouvé personne connecté au port 10, je vais essayer de chercehr dans cette voie...

le 411 et le 10000 je connais pas par contre

 
si tu n'as pas installé les updates récentes malheuresement si.
Pour ta version de ssh je ne sais pas si elle est (etait) vulnérable)

de même je me demande si l'openssl que tu utilises est vulnérable à l'exploit qu'ils ont trouvé récemment

j'ai trouvé ça d'étrange... avec netstat
tcp        0      0 0.0.0.0:10            0.0.0.0:*               LISTEN
17838/httpd
 
je vais regarder la config d'httpd de plus près encore une fois...
 
 

le 10000 c'est le port de webmin ( qui permet de configurer la machie )  
 
l'autre, pas d'idée

houlà, ya du debit ici !
 
bon, alors,  
pour le port 1723 : j'ai un modem Speed touch home passé en pro donc a mon avis, ce port n'a pas a etre ouvert puisque le serveur est conencté a un hub et se sert du modem comem passerelle.
 
pour le port 10000 : c webmin,  donc ok
 
pour le firewall, j'avais voulu mettre iptables mais il fonctinnait pas.. (voulait pas démarrer, si je me souviens, il manqueit un morceau au noyeau...)
 
je vais essayer de mettre la rh 7.1 a jour mais je le sent pas bien ce coup là...

moi je vote la reinstall de ta machine !
 
paceke ca OpenSSH_2.5.2p2 c un poil vieillot
 
pas etonnant que tu constates des choses bizarre...
 
on en est à OpenSSH_3.4p1
 
dis nous c koi ta distrib ??? tu l'as met a jour des fois ?
 
enfin bon la je te conseille de reinstaller...
 
regarde avec netstat si tu peux voir un ip distante connecté chez toi... ah moins que ton netstat ai eté changé (ca m'es deja arrivé une truc de ce genre, et le gars m'avait changé ps et netstat ce ki fait que je voyais rien ), pour verifier netstat -V et ps -V
 
euh sinon koi dire d'autre
 
tape last pour voir les dernieres personnes a s'etre connceter...
 
c toujours des pistes...
 
pis ca sera sympa de voir si tu as bien un httpd sur ton port 10, si c lui qui genere le traffic que tu as remarqué, de comprendre a koi ca sert
 
pis si tu veux un coup de main pour les diagnostic je veux bien un compte ssh sur ta box
 
(j'aime bien comprendre comment les gens font pour leurs exploit)
 
edit: si tu veux un coup de main je suis sur icq now 78336764

je t'ai crée un compte  
va voir tes MP

ok no problemo
 
tu as sur icq aussi ?
 
ca pourrait etre utile pour discuter

avec talk

erf )
 
tu peux faire un netstat -apn en root stp ? et paster ici pour voir

alros netsta -apn :  
[root@machine /]# netstat -apn
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 0.0.0.0:20000           0.0.0.0:*               LISTEN      950/perl
tcp        0      0 0.0.0.0:10              0.0.0.0:*               LISTEN      17838/httpd
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      898/mysqld
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      584/portmap
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      17838/httpd
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      957/perl
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      900/pure-ftpd (SERV
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      730/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      769/sendmail: accep
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      17838/httpd
tcp        0      0 10.0.0.9:22             80.65.225.98:3451       ESTABLISHED 19047/sshd
tcp        0     20 10.0.0.9:22             10.0.0.1:2935           ESTABLISHED 19087/sshd
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           957/perl
udp        0      0 0.0.0.0:20000           0.0.0.0:*                           950/perl
udp        0      0 0.0.0.0:111             0.0.0.0:*                           584/portmap
Sockets du domaine UNIX actives(serveurs et établies)
Proto RefCpt Indicatrs   Type       Etat          I-Node PID/Program name    Chemin
unix  8      [ ]         DGRAM                    897    565/syslogd         /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     1164   782/gpm             /dev/gpmctl
unix  2      [ ACC ]     STREAM     LISTENING     177579 19047/sshd          /tmp/ssh-XXBWpjZE/agent.19047
unix  2      [ ACC ]     STREAM     LISTENING     1368   898/mysqld          /var/lib/mysql/mysql.sock
unix  2      [ ]         DGRAM                    1519   957/perl
unix  2      [ ]         DGRAM                    1317   900/pure-ftpd (SERV
unix  2      [ ]         DGRAM                    1162   794/crond
unix  2      [ ]         DGRAM                    1140   769/sendmail: accep
unix  2      [ ]         DGRAM                    1037   703/automount
unix  2      [ ]         DGRAM                    906    570/klogd
unix  2      [ ]         STREAM     CONNECTE      529    1/init [3]
 

pour icq, je l'ai plus..
pour tes droits, je veux bien te mettre en root, je pensais qu'en te mettant come secondary group root, ça suffirait...

ben si tu veux no problemo
 
on va jetter un oeil a la conf de ton apache
 
pis voir ce ke c'est que ce perl sur le 20000
 
ca te dit quelquechose ddclient ?

wi, ddclient, c le prog qui mets mon ip a jour avec le domaine npower.mine.nu  (addresse ip dynamique)
 
je t'ai mis en uid 0, je suppose que tu dois pouvoir faire un peu plus de choses now ;-)

le ^perl sur le 20000, ça pourrati etre usermin (gestion des users par une interface web.. mais le port 20000 n'est pas redirigé par le modem/routeur donc a priori, c inaccessible de l'exterieur..à

si tu as une station windows sous ma main, je suis sur messenger (netswitch@hotmail.com)

c'est un scan de l'interieur que tu nous a montré ?  
de plus si ton firewall est configuré pour ne laisser entrer que ce qui est configuré (et non interdire ) , il se peut que le 10 en écoute soit inefficace pour un peut etre trojan , hack

bon je vois pas pourkoi ton apache ouvre sur le port 10
 
c toi ki a modifié la conf a 15h12 ?

j'ai pas messenger
 
par contre tu peux venir sur irc ptet ?
 
sur openprojects je suis
 
sur linux-fr ou gentoofr par exemple

wi, c moi, j'ai vbiré un truc qui écoutati sur le port 443 qui étai là par defaut...
 
je vais installer un client irc...

oky ca sera mieux pour discuter
 
443 c pour le httpd securisé (url https:// et cadenas en bas du browser) c normal y a pas a s'alarmer...  
 
par contre fo nettoyer un peu virer ce ki sert pas genre portmap ou gpm ? a moins que tu les utilises
 
pour les ports 10000 et 20000 c bien webmin et usermin j'avais mal vu
 
après reste avoir tes versions de daemons (mysql, ssh and co) pour avoir les dernieres a jour car un ssh en 2.5 ca fait peur !
 
fodra penser a mettre un firewall si tu as pas ...
 
pis le truc etrange c l'ecoute du httpd sur le 10
 

Est-ce qu'il y a un site web qui regroupe touts les trous de securité des software de serveur, regroupé par version?

www.securityfocus.com
www.cert.com
 
(je ne suis pas sur des urls)