Le 02/02/2014 21:08, Mickaël Guéret a écrit : > Bonsoir, > > j'ai remarqué depuis quelques temps une activité réseau assez importante > sur mon PC sous Debian, qui continue même si je ferme le navigateur et > le client de messagerie. Je suis connecté à internet via une freebox en > mode routeur, mais l'ordi est seul sur la freebox. > > Je ne suis pas un grand pro de la sécurité, mais j'ai l'impression que > mon PC subit une attaque du genre scan de port... J'ai chercher à voir > d'ou venait ce traffic avec iftop, je reçois pleins de requêtes > provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)... > Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe, et > je ne trouve pas les mots clés pour m'aider à trouver sur le net. > > Cordialement, > Mika_Gueret Petit retour d'expérience : Il y a quelques années (2009) j'avais installé une machine sous une variante de Debian. Comme j'étais chez Free j'avais une IP fixe, et j'avais configuré mon NAT pour accéder au port 22 depuis l'extérieur... Un jour j'ai constaté un trafic sortant anormal. J'ai débranché tout de suite le câble réseau pour investigation. Au bout d'une heure j'avais une bonne idée de ce qui s'était probablement passé (on n'a toujours que les positifs, mais on ne sais pas si l'attaquant est allé plus loin). Résultat des courses : 1) je n'avais pas restreint les utilisateurs pour SSH ; 2) je n'avais pas installé fail2ban ; 3) il se trouve que j'avais une colocataire qui avait mis comme mot de passe son username... et elle s'appelait sylvie ^^ ; 4) il y avait un .bash_history (ma coloc' n'utilisait jamais la console) qui contenait une suite de commande de type wget paquet_windows.zip, wget paquet_linux.zip, cron, etc. Les logs wtmp n'avaient appremment pas été modifiés. 5) action apparente : c'était un botnet IRC qui se redémarrait tout seul avec un cron inscrit sous le nom d'utilisateur de ma colocataire (c'est donc assez discret car on n'utilise pas souvent les crontabs des utilisateurs réguliers). L'attaquant n'avait apparemment pas cherché à dissimuler ses traces, j'en ai même été surpris... En tous cas, j'ai quand-même réinstallé la machine /from scratch/ : on ne sait jamais si c'est une attaque pour en cacher une autre. Merci quand-même à l'attaquant, car au moins j'utilise maintenant des règles de sécurité de base... Ça n'aidera peut-être pas... Mais ça peut faire avancer un peu le schmilblick. -- Adrien.
Attachment:
signature.asc
Description: OpenPGP digital signature