Ufw block in
Fermé
strator
-
11 juin 2018 à 21:21
mamiemando Messages postés 33357 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 13 novembre 2024 - 15 juin 2018 à 09:46
mamiemando Messages postés 33357 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 13 novembre 2024 - 15 juin 2018 à 09:46
A voir également:
- Ufw block in
- Navigation in private - Guide
- Av in - Forum Audio
- Dc in - Forum Disque dur / SSD
- U block origin - Télécharger - Outils pour navigateurs
- Deco in paris avis ✓ - Forum Consommation & Internet
6 réponses
mamiemando
Messages postés
33357
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
13 novembre 2024
7 805
Modifié le 12 juin 2018 à 10:04
Modifié le 12 juin 2018 à 10:04
Bonjour
8.8.8.8 (adresse anycast des DNS de google) et 9.9.9.9 (quad9) sont deux adresses de serveurs DNS. Si tu les utilises pourquoi pas. Si tu n'as pas souvenir de les avoir configuré, tu as peut être installé un programme malveillant qui lui les utilises.
Il faudrait vérifier les autres IPs. Tu peux regarder avec l'outil
Quelques conseils:
Tu peux notamment jeter un oeil à ce tutoriel. Ou sinon, tu peux aussi réinstaller ton linux.
Bonne chance
8.8.8.8 (adresse anycast des DNS de google) et 9.9.9.9 (quad9) sont deux adresses de serveurs DNS. Si tu les utilises pourquoi pas. Si tu n'as pas souvenir de les avoir configuré, tu as peut être installé un programme malveillant qui lui les utilises.
Il faudrait vérifier les autres IPs. Tu peux regarder avec l'outil
whoisà qui elles appartiennent, parfois, le pays ou le nom de l'opérateur à qui elles sont rattachées permet de se faire une idée. Par exemple certaines d'entre elles sont liées à Akamaï (un serveur de contenu), Amazon, donc rien de suspect à ce stade, mais je n'ai pas regardé pour toutes. Ce qui m'étonne c'est qu'elles soient bloquées par
ufw.
Quelques conseils:
- vérifier la présence d'un rootkit par exemple avec
rkhunter
, - vérifie l'intégrité des paquets avec
debsums
si tu es sous debian, - contrôle les processus qui tournent avec
ps faux
et les connexions réseaux ouvertes avecnetstat -aultp
et regarde si tu vous des trucs suspects (résultat significatif seulement une fois les vérifications précédentes faites). - regarde des fichiers comme
/var/auth/log
,
Tu peux notamment jeter un oeil à ce tutoriel. Ou sinon, tu peux aussi réinstaller ton linux.
Bonne chance
@mamiemando
Bonjour,
Merci pour le retour.
Si je vois que c'est trop compliqué pour moi, je relancerais ici ou au pire je réinstallerais linux.
Ce qui est bizarre c'est que j'installe toujours mes logiciels en passant par synaptic et ceux sont toujours les mêmes.
Pour les autres c'est par le site officiel en ligne de commande ou par le debinstalleur mais je check toujours le hash.
En ce qui concerne ton étonnement parce que le firewall bloque des IP qui paraissent légitimes, c'est que je configure toujours mon firewall ainsi, je rejette en entrée et en sortie et je rajoute quelques règles. Je sais que ça fait bretelles et ceinture mais j'ai toujours fais ainsi et ça a toujours marché.
Comme tu peux le constater je n'utilise pas Samba sur mon PC ou des trucs dans le genre et anycast 8.8.8.8 n'est meme pas activé sur ma TV. Mon PC me sert juste à surfer ou regarder des vidéos.
Je me demande si le bazar ne vient pas de la TV au final car les problemes sont récents et la TV aussi. Si c'est le cas, je ferais de la mauvaise pub.
Dans tout les cas, je te remercie encore. A+
53/udp REJECT Anywhere
53/tcp REJECT Anywhere
53/udp (v6) REJECT Anywhere (v6)
53/tcp (v6) REJECT Anywhere (v6)
53/udp ALLOW OUT Anywhere
53/tcp REJECT OUT Anywhere
53/tcp (v6) REJECT OUT Anywhere (v6)
80/udp REJECT Anywhere
80/tcp REJECT Anywhere
80/udp (v6) REJECT Anywhere (v6)
80/tcp (v6) REJECT Anywhere (v6)
80/tcp ALLOW OUT Anywhere
80/udp REJECT OUT Anywhere
80/udp (v6) REJECT OUT Anywhere (v6)
443/udp REJECT Anywhere
443/tcp REJECT Anywhere
443/udp (v6) REJECT Anywhere (v6)
443/tcp (v6) REJECT Anywhere (v6)
443/tcp ALLOW OUT Anywhere
443/udp REJECT OUT Anywhere
443/udp (v6) REJECT OUT Anywhere (v6)
Bonjour,
Merci pour le retour.
Si je vois que c'est trop compliqué pour moi, je relancerais ici ou au pire je réinstallerais linux.
Ce qui est bizarre c'est que j'installe toujours mes logiciels en passant par synaptic et ceux sont toujours les mêmes.
Pour les autres c'est par le site officiel en ligne de commande ou par le debinstalleur mais je check toujours le hash.
En ce qui concerne ton étonnement parce que le firewall bloque des IP qui paraissent légitimes, c'est que je configure toujours mon firewall ainsi, je rejette en entrée et en sortie et je rajoute quelques règles. Je sais que ça fait bretelles et ceinture mais j'ai toujours fais ainsi et ça a toujours marché.
Comme tu peux le constater je n'utilise pas Samba sur mon PC ou des trucs dans le genre et anycast 8.8.8.8 n'est meme pas activé sur ma TV. Mon PC me sert juste à surfer ou regarder des vidéos.
Je me demande si le bazar ne vient pas de la TV au final car les problemes sont récents et la TV aussi. Si c'est le cas, je ferais de la mauvaise pub.
Dans tout les cas, je te remercie encore. A+
53/udp REJECT Anywhere
53/tcp REJECT Anywhere
53/udp (v6) REJECT Anywhere (v6)
53/tcp (v6) REJECT Anywhere (v6)
53/udp ALLOW OUT Anywhere
53/tcp REJECT OUT Anywhere
53/tcp (v6) REJECT OUT Anywhere (v6)
80/udp REJECT Anywhere
80/tcp REJECT Anywhere
80/udp (v6) REJECT Anywhere (v6)
80/tcp (v6) REJECT Anywhere (v6)
80/tcp ALLOW OUT Anywhere
80/udp REJECT OUT Anywhere
80/udp (v6) REJECT OUT Anywhere (v6)
443/udp REJECT Anywhere
443/tcp REJECT Anywhere
443/udp (v6) REJECT Anywhere (v6)
443/tcp (v6) REJECT Anywhere (v6)
443/tcp ALLOW OUT Anywhere
443/udp REJECT OUT Anywhere
443/udp (v6) REJECT OUT Anywhere (v6)
@mamiemando,
Voila un résumé de ce que tu as proposé.
Pour Rkhunter, la mise à jour ne pouvait pas se faire, donc il est lancé tel quel.
Pour ps faux, c'est du chinois pour moi. Pleins de TTY avec des "?", je ne sais pas si c'est représentatif de quelque chose, si il faut je peux le poster.
Pour le fichier /var/auth/log, pareil, je n'ai pas les capacités pour voir si c'est OK ou pas, je peux le poster si il faut.
Merci.
rkhunter:
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
/usr/bin/lwp-request [ Warning ]
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Suspicious Shared Memory segments [ None found ]
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
Checking for an SSH configuration file [ Not found ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ None found ]
[Press <ENTER> to continue]
System checks summary
=====================
File properties checks...
Files checked: 138
Suspect files: 1
Rootkit checks...
Rootkits checked : 364
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 55 seconds
chkrootkit:
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
wlx*****: PACKET SNIFFER(/sbin/wpa_supplicant[1127], /sbin/wpa_supplicant[1127], /sbin/dhclient[32196])
Checking `chkutmp'...The tty of the following user process(es) were not found in /var/run/utmp !
netstat -aultp:
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 *********:domain *:* LISTEN 1610/dnsmasq
tcp 0 0 localhost:ipp *:* LISTEN 904/cupsd
tcp 0 0 192.168.0.10:45920 a88-221-83-73.depl:http ESTABLISHED 16320/firefox
udp 0 0 *:43910 *:* 1610/dnsmasq
udp 0 0 *********:domain *:* 1610/dnsmasq
udp 0 0 *:bootpc *:* 16566/dhclient
Voila un résumé de ce que tu as proposé.
Pour Rkhunter, la mise à jour ne pouvait pas se faire, donc il est lancé tel quel.
Pour ps faux, c'est du chinois pour moi. Pleins de TTY avec des "?", je ne sais pas si c'est représentatif de quelque chose, si il faut je peux le poster.
Pour le fichier /var/auth/log, pareil, je n'ai pas les capacités pour voir si c'est OK ou pas, je peux le poster si il faut.
Merci.
rkhunter:
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
/usr/bin/lwp-request [ Warning ]
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Suspicious Shared Memory segments [ None found ]
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
Checking for an SSH configuration file [ Not found ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ None found ]
[Press <ENTER> to continue]
System checks summary
=====================
File properties checks...
Files checked: 138
Suspect files: 1
Rootkit checks...
Rootkits checked : 364
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 55 seconds
chkrootkit:
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
wlx*****: PACKET SNIFFER(/sbin/wpa_supplicant[1127], /sbin/wpa_supplicant[1127], /sbin/dhclient[32196])
Checking `chkutmp'...The tty of the following user process(es) were not found in /var/run/utmp !
netstat -aultp:
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 *********:domain *:* LISTEN 1610/dnsmasq
tcp 0 0 localhost:ipp *:* LISTEN 904/cupsd
tcp 0 0 192.168.0.10:45920 a88-221-83-73.depl:http ESTABLISHED 16320/firefox
udp 0 0 *:43910 *:* 1610/dnsmasq
udp 0 0 *********:domain *:* 1610/dnsmasq
udp 0 0 *:bootpc *:* 16566/dhclient
mamiemando
Messages postés
33357
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
13 novembre 2024
7 805
13 juin 2018 à 13:09
13 juin 2018 à 13:09
A priori rien de suspect pour le moment.
Ce que tu peux faire assez simplement c'est débrancher ta télé pour voir si c'est elle qui engendre tant d'activité sur ton pare-feu.
Je suppose que
Regarde avec la commande
Bonne chance
Ce que tu peux faire assez simplement c'est débrancher ta télé pour voir si c'est elle qui engendre tant d'activité sur ton pare-feu.
Je suppose que
192.168.0.12correspond à ta télé ?
Regarde avec la commande
topce qui consomme du CPU.
Bonne chance
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Je suppose que 192.168.0.12 correspond à ta télé ? Non, c'est mon PC.
C'est pour ça que je suis un peu étonné surtout après ton explication sur le 8.8.8.8 d'anycast. Sur ma TV, anycast est clairement désactivé, je n'en ai pas l'utilité. J'avais inscris le DNS de quad9 en mode manuel du DHCP mais c'est tout, j'ai tout remis en automatique avec les adresses du FAI et ça va mieux depuis, cela semble résolu.
J'ai l'impression que dans les dépôts d'applis de la TV, il y en a qui sont un peu trop curieuse, mais comme expliqué plus haut, je n'ai que Netflix d'installé. Je peux comprendre que Netflix puisse parcourir pour des raisons techniques mon PC pour le partage de supports mais je n'ai pas activé cette option.
Bizarre de me retrouver avec des adresses de quad9, google et amazon (appli d'amazon que je n'ai pas sur ma TV) sur mon PC.
En gros si c'était à refaire je n’achèterais pas un produit de la marque qui commence par un H et qui sponsorise la coupe du monde.
Merci pour tout Mamiemando.
Je suppose que 192.168.0.12 correspond à ta télé ? Non, c'est mon PC.
C'est pour ça que je suis un peu étonné surtout après ton explication sur le 8.8.8.8 d'anycast. Sur ma TV, anycast est clairement désactivé, je n'en ai pas l'utilité. J'avais inscris le DNS de quad9 en mode manuel du DHCP mais c'est tout, j'ai tout remis en automatique avec les adresses du FAI et ça va mieux depuis, cela semble résolu.
J'ai l'impression que dans les dépôts d'applis de la TV, il y en a qui sont un peu trop curieuse, mais comme expliqué plus haut, je n'ai que Netflix d'installé. Je peux comprendre que Netflix puisse parcourir pour des raisons techniques mon PC pour le partage de supports mais je n'ai pas activé cette option.
Bizarre de me retrouver avec des adresses de quad9, google et amazon (appli d'amazon que je n'ai pas sur ma TV) sur mon PC.
En gros si c'était à refaire je n’achèterais pas un produit de la marque qui commence par un H et qui sponsorise la coupe du monde.
Merci pour tout Mamiemando.
mamiemando
Messages postés
33357
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
13 novembre 2024
7 805
15 juin 2018 à 09:46
15 juin 2018 à 09:46
C'est pour ça que je suis un peu étonné surtout après ton explication sur le 8.8.8.8 d'anycast. Sur ma TV, anycast est clairement désactivé...
On s'est mal compris : 8.8.8.8 est une IP anycast, ça signifie qu'elle désigne selon où tu te trouves dans le monde un serveur DNS différent. C'est une considération indépendante de ta télévision.
J'ai l'impression que dans les dépôts d'applis de la TV, il y en a qui sont un peu trop curieuses
C'est probable, c'est pour ça que je te proposais de faire le test avec la télévision éteinte. Donc visiblement c'est bien elle qui est en cause ?
Bizarre de me retrouver avec des adresses de quad9, google et amazon (appli d'amazon que je n'ai pas sur ma TV) sur mon PC.
Pour amazon ça me surprend moyennement (publicités, accès à un cloud...) pour quad9 je ne sais pas.
En gros si c'était à refaire je n’achèterais pas un produit de la marque qui commence par un H et qui sponsorise la coupe du monde.
Héhé je te comprends, mais hélas, il ne faut pas se leurrer, ce n'est sûrement pas (hélas) un cas isolé. Je pense même que ce qui se fait sur les smartphones est à mon avis bien pire en matière de vie privée et de choses faites à l'insu de l'utilisateur.
C'est pour ça que côté PCs, on est content qu'il existe des systèmes comme linux. Ce qui sera super c'est quand on aura le même genre d'alternatives pour les smarts TV, les smartphones (et plus généralement les objets connectés). Malheureusement à ce stade les projets existants sont pour autant que je sache encore à leurs débuts...
On s'est mal compris : 8.8.8.8 est une IP anycast, ça signifie qu'elle désigne selon où tu te trouves dans le monde un serveur DNS différent. C'est une considération indépendante de ta télévision.
J'ai l'impression que dans les dépôts d'applis de la TV, il y en a qui sont un peu trop curieuses
C'est probable, c'est pour ça que je te proposais de faire le test avec la télévision éteinte. Donc visiblement c'est bien elle qui est en cause ?
Bizarre de me retrouver avec des adresses de quad9, google et amazon (appli d'amazon que je n'ai pas sur ma TV) sur mon PC.
Pour amazon ça me surprend moyennement (publicités, accès à un cloud...) pour quad9 je ne sais pas.
En gros si c'était à refaire je n’achèterais pas un produit de la marque qui commence par un H et qui sponsorise la coupe du monde.
Héhé je te comprends, mais hélas, il ne faut pas se leurrer, ce n'est sûrement pas (hélas) un cas isolé. Je pense même que ce qui se fait sur les smartphones est à mon avis bien pire en matière de vie privée et de choses faites à l'insu de l'utilisateur.
C'est pour ça que côté PCs, on est content qu'il existe des systèmes comme linux. Ce qui sera super c'est quand on aura le même genre d'alternatives pour les smarts TV, les smartphones (et plus généralement les objets connectés). Malheureusement à ce stade les projets existants sont pour autant que je sache encore à leurs débuts...