Ouverture de SUPINFO USA à San Francisco en 2008. Des études en informatique en Californie à un tarif abordable ! Inscrivez-vous dès maintenant !

Recherche

17 messages

Diwann

[processus invisible] j'ai des connexions fantomes !

le 08 Janv. 05 à 23h47

Bonjour à tous,

j'ai un problème bizarre sur mon firewall :
il me semble que j'ai des connexions "fantomes" qui ne veulent pas se fermer et qui n'appartiennent à aucun processus...

en fait si: elles ont été initées par apache et restent bloquées sur le port 80 alors que apache est mort depuis longtemps, mais cette connexion fantome squatte le port 80 et empèche apache de redémarrer :

root@zerty:/home/diwann>tail /var/log/apache/error.log
[Sat Jan 8 22:47:45 2005] [crit] (98)Address already in use: make_sock: could not bind to port 80
[Sat Jan 8 22:50:59 2005] [crit] (98)Address already in use: make_sock: could not bind to port 80
[Sat Jan 8 23:13:24 2005] [crit] (98)Address already in use: make_sock: could not bind to port 80
root@zerty:/home/diwann>ps aux |grep apa
root 5419 0.0 1.1 1528 448 pts/0 S 23:45 0:00 grep apa
root@zerty:/home/diwann>ps aux |grep http
root 5421 0.0 1.1 1528 448 pts/0 S 23:45 0:00 grep http

et c vrai que nmap localhost me trouve le port 80 ouvert !

alors forcément, j'ai voulut faire le malin avec des tests netstats et des tests lsof et voila ce que ca donne :

root@zerty:/home/diwann>netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:11000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 149 0 82.67.109.XXX:80 82.67.89.145:3909 ESTABLISHED <- ca c louche :??:
tcp 158 0 82.67.109.XXX:80 65.54.188.85:61398 CLOSE_WAIT
tcp 150 0 82.67.109.XXX:80 82.67.213.142:3830 CLOSE_WAIT
tcp 0 0 192.168.0.1:22 192.168.0.4:33365 ESTABLISHED
tcp 150 0 82.67.109.XXX:80 82.67.1.105:4666 CLOSE_WAIT
tcp 12 0 192.168.0.1:80 192.168.0.4:33420 CLOSE_WAIT
tcp 405 0 192.168.0.1:80 192.168.0.4:33364 CLOSE_WAIT
tcp 54 0 192.168.0.1:80 192.168.0.4:33316 CLOSE_WAIT
tcp 154 0 82.67.109.XXX:80 207.46.98.65:31941 CLOSE_WAIT
tcp 15 0 192.168.0.1:80 192.168.0.4:33367 CLOSE_WAIT
tcp 158 0 82.67.109.XXX:80 65.54.188.85:10652 CLOSE_WAIT
tcp 154 0 82.67.109.XXX:80 207.46.98.65:42846 CLOSE_WAIT
tcp 195 0 82.67.109.XXX:80 68.142.251.146:53882 CLOSE_WAIT
tcp 154 0 82.67.109.XXX:80 207.46.98.65:35647 CLOSE_WAIT
tcp 158 0 82.67.109.XXX:80 65.54.188.85:14482 CLOSE_WAIT
tcp 405 0 192.168.0.1:80 192.168.0.4:33313 CLOSE_WAIT
tcp 32 0 192.168.0.1:80 192.168.0.4:33411 CLOSE_WAIT
tcp 405 0 192.168.0.1:80 192.168.0.4:33355 CLOSE_WAIT
tcp 154 0 82.67.109.XXX:80 207.46.98.65:49458 CLOSE_WAIT
tcp 405 0 192.168.0.1:80 192.168.0.4:33315 CLOSE_WAIT
tcp 0 2560 192.168.0.1:22 192.168.0.4:33482 ESTABLISHED
tcp 150 0 82.67.109.XXX:80 82.65.59.137:1714 CLOSE_WAIT
tcp 154 0 82.67.109.XXX:80 207.46.98.65:29411 CLOSE_WAIT

Houla !
déja yen a plein en cours de fermeture mais qui partent pas !

en plus ya ca :
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
qui confirme que qqun "écoute" sur le port 80

bon et lsof il donne quoi ?
rien de bizarre, c bizarre ...

dernier ptit test et après j'arrive à court de ressource :

root@zerty:/home/diwann>fuser 80/tcp
80/tcp: 5828
root@zerty:/home/diwann>ps aux |grep 5828
root 5564 0.0 1.1 1528 448 pts/0 S 23:57 0:00 grep 5828

qu'est ce que je peut faire maintenant ??

apparemment j'ai l'ip de l'opportun vu que la connexion est "ESTABLISHED" mais je sais pas trop comment le virer ?
faut rebooter ?

Diwann

le 08 Janv. 05 à 23h50

mouais ...

root@zerty:/home/diwann>fuser 80/tcp
80/tcp: 5828
root@zerty:/home/diwann>kill -9 5828
root@zerty:/home/diwann>fuser 80/tcp
root@zerty:/home/diwann>fuser 80/tcp
root@zerty:/home/diwann>!nets
netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:11000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.1:22 192.168.0.4:33365 ESTABLISHED
tcp 0 0 192.168.0.1:22 192.168.0.4:33482 ESTABLISHED

je me demande quand meme pourquoi il était caché dans le "ps aux"

Diwann

le 09 Janv. 05 à 15h40

arg !
ca recommence !

encore une fois apache ne tourne pas te le port 80 est utilisé
cette fois g tapé
netstat -natp
et jai ca :

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 5761/smbd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 4868/xinetd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 6750/ttyload

c'est quoi ce ttyload ???
c'est pareil je le voit pas avec ps aux ...
arg

sickboyfr

le 09 Janv. 05 à 16h44

je dis ça a tout hasard, mais si ps te cache des processus, c'est peut etre que la commande a été modifié.
Passe un coup de chkrootkit.

Diwann

le 09 Janv. 05 à 17h20

je me suis posé la question aussi mais le binaire date d'aout 2003 alors ...
m'enfin g installé chkrootkit et j'ai : Checking `ifconfig'... INFECTED

je fais comment maintenant ?

sickboyfr

le 09 Janv. 05 à 17h23

tu formates :)

Diwann

le 09 Janv. 05 à 17h33

a ba non !

Diwann

le 09 Janv. 05 à 17h37

arg :
mv /sbin/ifconfig /root/
mv: cannot unlink `/sbin/ifconfig': Operation not permitted
mv: cannot remove `/sbin/ifconfig': Operation not permitted

sickboyfr

le 09 Janv. 05 à 17h54

bon, ben a priori tu ne peux te fier a aucune commande.
ps, ls netstat, passwd... ont toutes pu être modifié, en plus de ls -l, tu peux voir avec ls -lc (utilise ls depuis un livecd, le ls de ton systéme n'est pas sur) s'il y a des dates suspectes, et eventuellement utiliser find pour trouver tous les fichiers ayant été modifié le jour de la compromission.
Pour avoir des commandes saines, il faudrait les recompiler en static (sur un autre système).

Faut que tu check tes fichier init (inittab, init.d/*, ...) tes taches cron (/etc/cron*) etc...

Enfin, un systéme compromis ne se "décompromise" pas, l'attaquant a pu faire tout et n'importe quoi... donc normalement tu dois reinstaller completement le système.

Diwann

le 10 Janv. 05 à 00h24

je vient de remarquer un autre truc bizarre
ls -l /sbin/tty*
-rwxr-xr-x 1 122 114 212747 Mar 18 2002 /sbin/ttyload
-rwxrwxr-x 1 122 114 93476 Mar 18 2002 /sbin/ttymon
et
ls -l /sbin/ifconfig*
-rwxr-xr-x 1 122 114 31504 Nov 24 2001 /sbin/ifconfig
c bizarre ces propriétaires 122 et ce groupe 114 ?

finalement je vais réinstaller comme tu a dit mais je peut pas trop le faire d'ici une semaine... comment faire pour pas que ca pete d'ici la ?

crocodudule

le 10 Janv. 05 à 01h33

c'est qui ca?
82.65.59.137
207.46.98.65
65.54.188.85
68.142.251.146
82.67.89.145
82.67.213.142

interdire leur ip,sauf si parmis ces ip y a ton ip sur le net,fermer les autres et regardes

Diwann

le 14 Janv. 05 à 13h16

bon j'ai pas formatté g pas le temps mais j'ai trouvé un prog intéréssant : rkhunter

ca dit clairement les menaces qu'il ya eu sur les fichiers ... ca peut se mettre en crontab aussi, et il fait plus de tests que chkrootkit.

sinon je suis en train d'éplucher mes logs pour trouver la vrais ip du méchant, j'ai regardé /var/log/syslog* /var/log/apache/*, qu'est ce que je regarde d'autre ?

sickboyfr

le 14 Janv. 05 à 13h59

/var/log/messages

si tu as pu déterminer la date de compromission, tu peux utiliser last, et lastb pour trouver éventuellement l'ip (voir man last, man lastb)

Diwann

le 14 Janv. 05 à 14h25

oui g trouvé : g un script pour uploader des images et je sais pas comment mais il l'a utilisé pour uploader une zolie backdoor :
http://www.ahid.com/bindit
puis un fichier php avec un exec dedans
ensuite je sais pas comment il a obtenu le root mais bon ... est ce que c'est ca le plus important ?

last c pas mal mais ca remonte pas assez loin :'(

NB : g pas beaucoup de fichiers /var/log/messages* ... c normal ?
de toutes facons ya pas grand chose dedans (a c ptet pas normal ca aussi ...)

fred53fred

le 23 Nov. 07 à 11h53

bonjour
sur win XP, j'ai des connexions reseau et sans fil fantome. j'ai desinstallé et reinstallé mes cartes wifi reseau et maintenant il m'affiche connexion au reseau local 10 (que sont les 9 premieres ????????????????)

comment puis je me debarasser de ca ?

v_atekor

le 23 Nov. 07 à 15h57

Ben je pense qu'il va falloir réinstaller comme c'est recommandé déjà dans ce fil de discussion.

v_atekor

le 23 Nov. 07 à 16h13

PS 1: pose une question spécifique, car ce fil de discussion est déjà ancien.
PS 2: les gens sur ce forums sont surtout spécialisés sur linux/MacOS, windows c'est sur d'autres forums. (dans la liste déroulante )

17 messages

Vous devez être connecté pour écrire un message !

Sujets Similaires:

Glossaire High-Tech : # A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Découvrez aussi : AchetezFacile (Comparateur de prix) - JeuxVideo.fr - Neteco - Ozap - Mobinaute - JeuxVideo.TV (Emissions TV)
Echanges de Liens : Allociné (Cinéma, VOD) - Cityvox (Paris) - Franchise Jeux Vidéo - Boursier.com (Bourse Quotidien) - Infobebes (Grossesse)
Culture Jeux (Encyclopédie) - Webdistrib (Matériel Informatique) - Locafilm (Location DVD) - Pixmania (GPS Garmin) - auFeminin (beauté, mode)
Sur cette page : invisible j'ai des connexions fantomes ! : Bonjour à tous, j'ai un problème.... Mots Clefs : informatique, PC, hardware, matériel, jeux vidéo, multimédia, logiciel, téléchar....