Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-11-2018 11:58:51

Kellogs
Membre
Distrib. : SID
Noyau : Linux 4.18.0-3-amd64
(G)UI : Gnome
Inscription : 02-07-2017

netstat -lx réponse illisible (@@@@)

La commande netstat  -lx renvoie comme première ligne une réponse illisible (@@@@), comme si un programme caché avait ouvert un soket Unix.

Est-ce normal ?
Merci de vos réponses.

netstat -lx
Sockets du domaine UNIX actives(seulement serveurs)
Proto RefCnt Flags       Type       State         I-Node   Chemin
unix  2      [ ACC ]     STREAM     LISTENING     22004    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
unix  2      [ ACC ]     STREAM     LISTENING     33186    @/tmp/.ICE-unix/1942
unix  2      [ ACC ]     STREAM     LISTENING     19983    /var/run/pkcsslotd.socket
unix  2      [ ACC ]     STREAM     LISTENING     19218    /run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     19222    /var/run/libvirt/virtlogd-sock
unix  2      [ ACC ]     STREAM     LISTENING     19225    /var/run/libvirt/virtlockd-admin-sock
unix  2      [ ACC ]     STREAM     LISTENING     31638    @/tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     34260    @/tmp/dbus-bwTJu8cFZs
unix  2      [ ACC ]     STREAM     LISTENING     32589    /run/user/1000/keyring/pkcs11
unix  2      [ ACC ]     STREAM     LISTENING     32591    /run/user/1000/keyring/ssh
unix  2      [ ACC ]     STREAM     LISTENING     33111    /run/user/1000/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     33117    /run/user/1000/gnupg/S.dirmngr
unix  2      [ ACC ]     STREAM     LISTENING     33120    /run/user/1000/pulse/native
unix  2      [ ACC ]     STREAM     LISTENING     33123    /run/user/1000/gnupg/S.gpg-agent.ssh
unix  2      [ ACC ]     STREAM     LISTENING     33125    /run/user/1000/gnupg/S.gpg-agent.browser
unix  2      [ ACC ]     STREAM     LISTENING     33127    /run/user/1000/gnupg/S.gpg-agent
unix  2      [ ACC ]     STREAM     LISTENING     33129    /run/user/1000/gnupg/S.gpg-agent.extra
unix  2      [ ACC ]     STREAM     LISTENING     26729    /var/run/libvirt/libvirt-sock
unix  2      [ ACC ]     STREAM     LISTENING     33131    /run/user/1000/bus
unix  2      [ ACC ]     STREAM     LISTENING     26731    /var/run/libvirt/libvirt-sock-ro
unix  2      [ ACC ]     STREAM     LISTENING     26733    /var/run/libvirt/libvirt-admin-sock
unix  2      [ ACC ]     STREAM     LISTENING     12921    /run/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     24743    @/tmp/dbus-bogJKvhH
unix  2      [ ACC ]     STREAM     LISTENING     31868    /run/NetworkManager/private-dhcp
unix  2      [ ACC ]     STREAM     LISTENING     22396    /var/run/postgresql/.s.PGSQL.5433
unix  2      [ ACC ]     STREAM     LISTENING     23678    /var/run/cups/cups.sock
unix  2      [ ACC ]     STREAM     LISTENING     12930    /run/systemd/fsck.progress
unix  2      [ ACC ]     STREAM     LISTENING     12936    /run/systemd/journal/stdout
unix  2      [ ACC ]     STREAM     LISTENING     18070    /var/run/libvirt/virtlogd-admin-sock
unix  2      [ ACC ]     STREAM     LISTENING     18074    /var/run/libvirt/virtlockd-sock
unix  2      [ ACC ]     STREAM     LISTENING     31646    /run/user/1000/wayland-0
unix  2      [ ACC ]     STREAM     LISTENING     18077    /run/cups/cups.sock
unix  2      [ ACC ]     SEQPACKET  LISTENING     671      /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     18081    /var/run/pcscd/pcscd.comm
unix  2      [ ACC ]     STREAM     LISTENING     21155    /var/run/postgresql/.s.PGSQL.5432
unix  2      [ ACC ]     STREAM     LISTENING     18085    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     24742    @/tmp/dbus-JRMb8EC6
unix  2      [ ACC ]     STREAM     LISTENING     33966    /var/run/clamav/clamd.ctl
unix  2      [ ACC ]     STREAM     LISTENING     686      /run/lvm/lvmpolld.socket
unix  2      [ ACC ]     STREAM     LISTENING     701      /run/lvm/lvmetad.socket
unix  2      [ ACC ]     STREAM     LISTENING     33971    @/tmp/dbus-eRbWBoD6
unix  2      [ ACC ]     STREAM     LISTENING     33187    /tmp/.ICE-unix/1942
unix  2      [ ACC ]     STREAM     LISTENING     32479    /run/user/1000/keyring/control
unix  2      [ ACC ]     STREAM     LISTENING     33970    @/tmp/dbus-EBmG4ik5
unix  2      [ ACC ]     STREAM     LISTENING     31639    /tmp/.X11-unix/X0
 

Dernière modification par Kellogs (29-11-2018 12:01:12)

Hors ligne

#2 29-11-2018 12:21:30

Kellogs
Membre
Distrib. : SID
Noyau : Linux 4.18.0-3-amd64
(G)UI : Gnome
Inscription : 02-07-2017

Re : netstat -lx réponse illisible (@@@@)

Si je pose la question, c'est que je reçois depuis un an des mails d'un pirate qui m'indique avoir piraté mon ordinateur et me réclame de l'argent. Là rien d'étonnant. Mais depuis quelques mois, il me fait parvenir de vieux mots de passe qu'il a intercepté. J'ai réinstallé totalement ma machine en Juin 2018 en réinitialisant tous les mots de passe. Le pirate m'indique qu'il a repiraté ma machine en Août. Depuis, je cherche assez fébrilement toute trace de rootkit, sans rien trouver, mais sans me faire trop de soucis, puisque j'ai tout réinstallé.

Ce matin, je suis tombé sur ce netstat presque par hasard en essayant de voir mes ports ouverts ... Est-ce normal d'avoir la ligne :
unix  2      [ ACC ]     STREAM     LISTENING     22004    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

Dernière modification par Kellogs (29-11-2018 12:22:29)

Hors ligne

#3 29-11-2018 14:00:23

David5647
Membre
Distrib. : Debian Buster
Noyau : 4.17.0-3-amd64
(G)UI : KDE
Inscription : 27-08-2017

Re : netstat -lx réponse illisible (@@@@)

Je suis une bille en réseau,
mais si je ne m'abuse, les sockets unix concernent la communication inter processus de ta machine et ne concernent pas les connections externes.
Pour cela tu devrais regarder les connections upd et et tcp

Ton "pirate" a du chopper une base de donnée d'un site et sauf preuve du contraire, il ne possède au grand maximum que les informations que tu as fournis à ce dernier
=> changement des mots de passe, sauvegarde des données, investiguer un peu quand même, mais pas sûr que tu trouves qqc

ps ; j'ai la même ligne

Dernière modification par David5647 (29-11-2018 14:04:52)

Hors ligne

#4 29-11-2018 15:28:01

Kellogs
Membre
Distrib. : SID
Noyau : Linux 4.18.0-3-amd64
(G)UI : Gnome
Inscription : 02-07-2017

Re : netstat -lx réponse illisible (@@@@)

Super, merci de m'indiquer que tu as la même ligne, donc rien d'anormal.

Dernière modification par Kellogs (29-11-2018 15:28:54)

Hors ligne

#5 29-11-2018 15:33:44

Kellogs
Membre
Distrib. : SID
Noyau : Linux 4.18.0-3-amd64
(G)UI : Gnome
Inscription : 02-07-2017

Re : netstat -lx réponse illisible (@@@@)

Le pirate m'a fait parvenir des mots de passe que j'utilisais sur ma machine Debian SID avant Juin dernier. Déjà à l'époque, je me connectais uniquement depuis mon salon, jamais dans un lieu public Et je ne télécharge pas de warez, vu que tout est libre sur mon poste.:cool:  Donc pénétrer une machine Debian à jour, firewallée et utilisée de manière raisonnable peut exceptionnellement arriver, ce n'est pas de la science-fiction.

Dernière modification par Kellogs (29-11-2018 15:36:47)

Hors ligne

#6 29-11-2018 19:22:46

David5647
Membre
Distrib. : Debian Buster
Noyau : 4.17.0-3-amd64
(G)UI : KDE
Inscription : 27-08-2017

Re : netstat -lx réponse illisible (@@@@)

c'est le mots de passe root/utilisateur+sudo? ou d'autres mots de passe. Effectivement si tu les utilisais uniquement sur ta machine c'est déjà un peu plus inquiétant.
Mais là je laisse ma place aux gens compétents.

Hors ligne

#7 29-11-2018 22:18:43

Kellogs
Membre
Distrib. : SID
Noyau : Linux 4.18.0-3-amd64
(G)UI : Gnome
Inscription : 02-07-2017

Re : netstat -lx réponse illisible (@@@@)

Oui, le pirate m'a envoyé le mot de passe root et le mot de passe utilisateur. C'est pour cela que je suis désormais toujours sur mes gardes. Par exemple, j'ai désactivé Javascript et je n'utilise plus Firefox, de peur de failles à répétitions.

Hors ligne

#8 30-11-2018 03:43:16

kawer
Adhérent(e)
Lieu : Quelque part vers Gallifrey
Distrib. : Archlinux
Noyau : Current
(G)UI : xfce4
Inscription : 08-10-2013

Re : netstat -lx réponse illisible (@@@@)

1. Utiliser les mêmes mots de passe linux avec les mêmes mots de passe sur la toile laisserais penser que le site distant est vulnérable. En tout cas, chose à ne pas faire.
2. Tu dit à voix hautes tes mots de passe quand tu les écrits et à un smartphone à proximiter ou un quelqu'on que micro, chose à pas faire.
3. Si tu n'utilise pas de serveur ssh/mail ou autres services hébergé sur ta machine alors l'acces peut ce faire que via ntp/navigateur internet/Client mail par lecture d'une pièce jointe par ex., execution d'un script malicieux exploitant une faille ... sur ça apparmor peut-être ton amis smile
4. Un coup de clamav, chkrootkit et lynis tu pourrais faire, histoire d'éliminé beaucoup de rootkit.
5. Un paquet en dehors des dépots officiel (sources.list) stable et main contrib, tu n'utilisera pas.

En dehors des 5 points précedent, Linux ne fonctionnant pas comme Windows, la probabilité pour qu'un simple utilisateur soit pirater est inférieur à la probabilité de gagner au loto smile

Edit : Concernant la ligne j'en ai déjà vu, mais m'éttant moi même déjà (volontairement) infecté et cela remontant à loin, je ne sais plus smile
J'oubliais, rien t'empêche d'utilise un navigateur autre que firefox qui es une usine à gaz. Et vérifie le HASH de ton iso debian.(à télécharger uniquement sur debian.org)

Dernière modification par kawer (30-11-2018 03:49:49)


Ce n'est pas un signe de bonne santé mentale d'être bien adapté à une société malade -Cit. Jiddu Krishnamurti

Hors ligne

#9 03-12-2018 04:54:44

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : netstat -lx réponse illisible (@@@@)

Salut,
je ne suis pas expert mai bon
lilste des commande qui pourrait être utile


netstat -laputne
lsof -i
htop (si installer)
 



si tu as des fichier que tu as restaurer, place les sure un autre utilisateur que celui que tu utilise (si c'est pas déjà fait) mai pas root!
Ensuite chiffre tes informations sensible.
si tu peux nous donner un retour de

uname -a


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

Pied de page des forums