Vous n'êtes pas identifié(e).
Pages : 1
Je n'ai pas réussi à trouver le fichier dans /usr/bin/...
Sinon, j'ai un seul port d'ouvert, le 111, pour le trafic de mon adresse : il me semble que c'est ok ?
voui ?
non ?
Par contre, j'ai installé il y a quelques jours snort, et il y a dans les fichiers les éléments qui me sont incompréhensibles, je vous montre un extrait du fichier de hier, dimanche 16/02/2014 :
Sans être un super traducteur, je comprends qu'il y a d'écrit : potentiel mauvais trafic !
Puis-je y faire quelques choses, où c'est impossible ?
Manque-t-il un élément pour "être sûr de mon réseau" ?
si voui, lequel ?
Oh, j'oublie... je n'ai pas activé le pare-feu, et suis derrière une freebox !
Merci de vos retours
Dernière modification par df871 (17-02-2014 20:23:01)
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
Je souhaiterai être sûr de mon réseau,
Tu es mal partit, on ne peut pas être sûr de son réseau, à moins de ne pas en avoir, ce qui en soit impliquerait d'être dans une cage de faraday parfaite, entouré de murs de plombs, béton armé, d'une largeure suffisante, etc., chose qui n'existe probablement pas.
Il y a différents niveaux de paranoïas qui entrainent différents niveau de précautions et de vérifications.
j'ai activé le wifi en plus...
Il y a plusieurs manière d'activer le wifi, chacune venant avec son mode de sécurisation et ses failles. Les risques sont donc variables et les modes de vérifications le sont également.
je souhaiterai vérifier le réseau, et s'il y a un intrus, de quelle manière le supprimer ?
Comment le supprimer est une chose, comment il est entré en est une bien plus importante. Parce que chasser de chez soi qqn qui a réussi à rentrer, ben, c'est peigner la girafe (avec tout le respect et l'admiration sans borne que j'ai pour cet animal merveilleux).
J'ai donc installé, en suivant et lisant les discussions déjà traitant de "réseau", snort, Nmap, dont voici le résultat :
Première question pour t'embêter: tu viens de faire un scan. Tu l'as fait depuis une de tes machines. Si ton réseau est infecté, cette machine peut l'être, et donc ton outil de scan peut avoir été patché pour ne pas détecter l'intrusion. Voir même, tout ton noyau peut avoir été patché pour ne rien voir de l'intrusion, c'est le principe des rootkits.
Première condition pour vérifier son réseau : partir d'un terrain «sûr», donc par exemple d'une machine fraîchement installée, n'ayant pas encore reçu de document de l'extérieurs sauf les paquets Debian (qui sont signés, donc authentifiés par clés GPG et vérifiés par la clé publique qui est sur l'ISO… que tu as téléchargée… depuis une machine infectée? (Tu as pu vérifier l'intégrité de l'iso en calculant sa somme de hashage (md5/sha256), mais tu as comparé le résultat avec la valeur obtenue sur le site de Debian, que tu as effectué via une connexion depuis une machine infectée, donc tout cela est potentiellement vérolé… )
Donc, on fait quelques hypothèses sinon on ne s'en sort pas, genre : les paquets Debian ne sont pas vérolés, on part d'une distro saine installée via une iso saine, et là on peut commencer.
nmap -v 192.168.x.x
Port 111 ouvert, c'est (a priori) rpcbind, dont le boulot est de démarrer des serveurs (au sens services qui écoutent sur des ports) à la demande. Tu t'en sers pour quoi? export NFS ?
Read data files from: /usr/bin/../share/nmap
Je n'ai pas réussi à trouver le fichier dans /usr/bin/
Ce n'est pas dans /usr/bin, c'est dans /usr/share. En effet, « .. » signifie « dossier parent », donc il faut remonter d'un cran quand tu le lis.
Sinon, j'ai un seul port d'ouvert, le 111, pour le trafic de mon adresse : il me semble que c'est ok ?
voui ?
non ?
Je ne sai pas moi, ça dépend de ton utilisation. Perso, je j'ai pas portmap sur ma machine, et donc aucun service n'écoute sur le port 111.
De plus, les scans de nmap ne sont pas complets, et ne peuvent pas l'être.
Tu pourrais demander à nmap de scanner tous les ports (ce qu'il ne fait pas par défaut), mais certains ports ne s'ouvrent automatiquement que lorsque d'autres ports sont ouverts (on appelle ça le port-knocking, puisqu'il s'agit de faire «toc toc» avant de pouvoir entrer.)
Certes, la probablilité qu'une application maligne sur ta machine soit protégée par port knocking est faible. Donc tu peux croire nmap sur le fait que seul un port est ouvert, 111, et aller faire connaissance avec portmap.
Par contre, j'ai installé il y a quelques jours snort, et il y a dans les fichiers les éléments qui me sont incompréhensibles, je vous montre un extrait du fichier de hier, dimanche 16/02/2014 :
[**] [1:402:7] ICMP Destination Unreachable Port Unreachable [**]
[Classification: Misc activity] [Priority: 3]
02/16-11:14:55.465246 192.168.x.x -> 192.168.x.x
ICMP TTL:64 TOS:0xC0 ID:56839 IpLen:20 DgmLen:102
Type:3 Code:3 DESTINATION UNREACHABLE: PORT UNREACHABLE
** ORIGINAL DATAGRAM DUMP:
192.168.x.x:53 -> 192.168.x.x:40333
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:74 DF
Len: 46 Csum: 21190
(46 more bytes of original packet)
** END OF DUMP
Visiblement, la première machine (ta box je suppose, vu qu'elle parle depuis le port 53, alias DNS) essayait d'envoyer paquet essayait de se connecter au port 40333 de la deuxième machine (la tienne probablement). Hors, celle-ci avait décidé de ne plus écouter ce port (pour une raison X ou Y), elle l'a fermé, donc le paquet était très triste.
[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/16-11:55:48.085793 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:350
Len: 322
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cg … 1999-0016][Xref => http://www.securityfocus.com/bid/2666]
Un paquet a été détecté, qui peu parfois être symptome d'une faille (et non d'une intrusion). Les liens vers les explications de la publication CVE expliquant le problème sont donnés. Ici, c'est une faille qui permetrais à un utilisateur malveillant du réseau de faire tomber le serveur. Note que la CVE date de 1999… et a donc de forte chances d'avoir été corrigé depuis.
Manque-t-il un élément pour "être sûr de mon réseau" ?
si voui, lequel ?
Oui, tout?
Non, rien?
Comme tu veux, c'est à toi de placer la barre où tu veux.
Le danger, comme le bonheur et le monde des bisounours, vient de l'extérieur.
Sous Linux, il vient principalement du net. Sous Windows il vient de ta clé usb.
Cela dit, certaines machines Linux ont été attaquées grâce à un Windows qui était sur le réseau et avait été verrolé auparavent. Donc extérieur est à bien mesurer.
Oh, j'oublie... je n'ai pas activé le pare-feu, et suis derrière une freebox !
Et tu as confiance en cet élément extérieur dans ton réseau?
Je continue la suite dans un deuxième message
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Récupération de code HTML
Là, c'est du pur texte, on peut supposer que les navigateurs savent lire du texte sans laisser de virus s'installer.
Récupération et affichage des images
Là, c'est déjà un peu plus complexe, les images sont téléchargées, pous décodées via un codec, puis affichée par le navigateur.
Il y a eu dans le temps des attaques avec des images frauduleuses qui exploitaient des failles dans ces codecs. On peu espérer que depuis ces codecs soient davantage robustes.
Exécution de JavaScript
En soi, le JavaScript ne devrait pas contenir de faille permettant d'exécuter un virus sur le système. Cependant ces failles ont existé, donnant parfois au navigateur un accès en écriture au disque, donc à nos documents, donc à notre .bashrc, donc… bref. Maintenant, ça ne devrait plus être le cas, mais je JavaScript, à défaut d'être coupable, peut encore être complice, faire des requêtes dans des sites louches, espionner les champs/mots-de-passe que tu tapes, etc.
Exécution de Flash
Là, c'est tellement le drame que rien que d'en évoquer le nom, FlashCat est déjà entrain de refaire les rideaux et l'empaillage des chaises.
Énormément de virus (sous windows) sont installés lors du visionnage d'un applet flash (un jeu, une pub, whatever). La même chose peut se produire sous Linux, y'a pas d'raison.
Et comme Flash est propriétaire, ben, pas moyen de faire d'audit de sécurité…
Exécution de Java
Similaire (via OpenJRE ou la JVM Oracle)
Ouverture de PDF téléchargés
Même combat (via Adobe Reader ou les visionneurs libres)
Lecture de films/vidéos
Idem (à cause de codecs défaillants)
Ouverture de documents LibreOffice
+1 (L'équivalent VBA doit sûrement avoir des failles lui aussi…)
Installation de paquets Debian depuis une autre source que les dépôts officiels
Pareil, mais directement avec les droits root pour le virus
Et ça ne signifie pas que les paquets officiels sont tous exempts de virus.
Et histoire de vous faire sursauter, un cheval de troie se code en 5 lignes de bash.
Breffffffff
Du coup, pour être à peu près sûr :
1) ne pas faire comme la masse (qui est bien plus recherchée par les mochants pirates mafieux)
2) ne pas exécuter/ouvrir n'importe quoi
3) se contenter des dépôts Debian (ou des applis tierces de confiance)
4) ne rien avoir de précieux sur ses disques (pour éviter les attaques ciblées, qui sont, elles, bien plus efficaces.
Et tutote qui veut
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Port 111 ouvert, c'est (a priori) rpcbind, dont le boulot est de démarrer des serveurs (au sens services qui écoutent sur des ports) à la demande. Tu t'en sers pour quoi? export NFS ?
à brûle pourpoint je ne vois pas ce qui peut activer des serveurs...
à moins que ce ne soit snort ?
je viens de chercher à quoi sert rpcbind :
L'utilitaire rpcbind est un serveur qui convertit les numéros de programmes RPC en adresses universelles.
Il s'installe seul, ou via un autre paquet ?
si je le désinstalle, je stoppe "l'évasion" que je ne contrôle pas, ou c'est inutile ?
aller faire connaissance avec portmap.
Je connaissais pas... j'ai vu qu'il fait partie de la commande lsof, sauf erreur de ma part !
je l'ai lancée et çà fait une sacré tartine de fichiers ouverts...
mais, ne sachant pas ce qui est "normal" ou "anormal"... ? !!!
Du coup, pour être à peu près sûr :
1) ne pas faire comme la masse (qui est bien plus recherchée par les mochants pirates mafieux)
2) ne pas exécuter/ouvrir n'importe quoi
3) se contenter des dépôts Debian (ou des applis tierces de confiance)
4) ne rien avoir de précieux sur ses disques (pour éviter les attaques ciblées, qui sont, elles, bien plus efficaces.
1) j'évite d'ouvrir tout et n'importe quoi... mes courriels sont rapatriés au travers de mailwasher, qui lit directement sur les serveurs, sans que l'expéditeur en soit averti, et tout ce qui est "coquin", pour l'instant, je les ai évités... (reçu aujourd'hui un soit-disant courriel des impôts.gouv ... et cliquez ici, et par là... )
2) avec debian, c'est relativement facile... au contraire de windows, où les "coquins" proposent des programmes et autres, vérolés !
3) à 99.99%... il y a multisystème que j'ai pris, et qui n'est pas dans les dépôts debian...
4) pour l'instant, rien de "spécieux" spécial... mais, cela pourrait venir... !
Cependant, je "tente" d'être un maximum prudent, en évitant d'être totalement parano...
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
Je te rassure, la probablilité pour que ton réseau soit infecté par qqn est très inférieure à 1% ¹:)
¹ Chiffre tiré de mon chapeau.
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
je ne vois pas comment l'enlever...
Pour rpcbind, j'ai tenté la commande proposée, et après un redémarrage, il est à nouveau là...
il doit soit s'installer par défaut... soit un autre programme le juge indispensable, et l'installe à nouveau...
Comme tu l'écris, cela m'étonnerait que je sois "infecté", et pourtant cela fait plus de 10 ans que je "traîne" sur la toile... la seule fois que j'ai failli... c'est à cause d'un correspondant, qui lui était bloqué et infecté, et sa messagerie envoyait à tous son carnet d'adresses, une saloperie !
Un p'tit coup de programme spécialisé, et le virus était supprimé... il n'avait pas eu le temps de faire de vacherie...
Cependant, comme tu l'indiques, c'était bien moi, donc toujours celui ou celle qui est derrière le clavier... qui en recevant la pièce du correspondant, avait failli l'ouvrir, mais ayant un doute, avais pris contact avec lui, et sa deuxième messagerie étant fonctionnelle, il m'avait averti de "sa" vacherie", rapatriée sur son ordi par sa petite fille... !
Depuis, lorsque je reçois une "coquinerie" de quelqu'un, et que j'ai un doute, je lui demande si c'est bien lui, avant même de la rapatrier sur mon ordi... et je la laisse sur le serveur du fai... !!!
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
il est normal que rpcbind soit toujours là...
donc, voilà le retour de la commande :
Fallait dire que tu voulais le retour de la commande...
Donc, le paquet seul de rpcbind sera enlevé, et si j'accepte, nfs-common le sera aussi !
J'ai bien compris ?
Je peux donc retirer tranquillement rpcbind et nfs-common !
je pensais qu'il n'y avait que "-n" qui montrait ce qui devait être supprimé, sans le supprimer...
je continue à découvrir Debian...
et j'suis loin d'avoir fini...
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
donc, voilà le retour de la commande :
aptitude -s remove rpcbind
Les paquets suivants seront ENLEVÉS :
rpcbind
0 paquets mis à jour, 0 nouvellement installés, 1 à enlever et 2 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 144 ko seront libérés.
Les paquets suivants ont des dépendances non satisfaites :
nfs-common : Dépend: rpcbind mais il ne sera pas installé.
Les actions suivantes permettront de résoudre ces dépendances :
Supprimer les paquets suivants :
1) nfs-common
Accepter cette solution ? [Y/n/q/?] y
Les paquets suivants seront ENLEVÉS :
nfs-common{a} rpcbind
0 paquets mis à jour, 0 nouvellement installés, 2 à enlever et 2 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 822 ko seront libérés.
Voulez-vous continuer ? [Y/n/?] y
Charger/installer/enlever des paquets.
Fallait dire que tu voulais le retour de la commande...
C'est toi qui le veut, ça n'est pas moi
Donc, le paquet seul de rpcbind sera enlevé, et si j'accepte, nfs-common le sera aussi !
J'ai bien compris ?
Je peux donc retirer tranquillement rpcbind et nfs-common !
Oui, nfs-common semble être le seul à dégager. Au pire des paquets inutilisés sauteront avec, mais a priori sans danger.
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Bon, çà c'est fait... :-)
Toutefois, est-il, pour autant, sûr ?
C'est vrai que je n'ai peut-être pas subi d'attaque... grâce à la Freebox ?
D'ici quelques temps... j'aurai des données, qui me seront essentielles, de quelle manière pourrais-je les protéger d'attaque ou intrusion ?
j'aime mieux y penser avant, que d'être "confronté" à une cagade...
Dernière modification par df871 (17-02-2014 17:52:21)
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Si ton ordinateur est derrière la freebox, et que seul les ports 80 et 443 (par exemple) sont forwardés
Comme j'ai tous les ports de fermés, dixit
comment connaitre les ports ouvert pour la freebox, que tu nommes forwardés (ahhhh... ces angliches... j'ai toujours autant de difficulté... )
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Pages : 1