Sujet Précédent Sujet Suivant

Ufw block in

Fermé
strator - 11 juin 2018 à 21:21
mamiemando Messages postés 33093 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 4 mai 2024 - 15 juin 2018 à 09:46
Depuis 3 jours, j'ai des tentatives d'intrusions sur mon PC sur le port 443 et le port 80, quand cela arrive impossible de contrôler mon PC (linux) parce qu'il rame............déjà que c'est une petite config. Je ne pense pas que le firewall soit en cause car j'ai toujours les mêmes réglages. Avant-hier après-midi, c'est carrément le modem qui s'est coupé mais je n'était pas sur le PC mais sur une TV connectée.

J'ai noté quelques IP pour vous faire une idée, elles ont l'air anodines mais ce qui est bizarre c'est la 9.9.9.9 de chez quad car c'est celle que j'ai inscris sur ma TV que je retrouve sur mes logs de mon PC. Je signale que j'ai désactivé tout les partages sur ma TV et sur mon PC. J'ai juste NETFLIX en appli sur ma TV mais pas sur le PC. La TV est branché par le CPL et le PC en wifi.

Si quelqu'un a une idée pour m'éclairer, je suis preneur. Merci.

[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=198.38.121.140 DST=192.168.0.12 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=80 DPT=52142 WINDOW=65535
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=9.9.9.9 DST=192.168.0.12 LEN=175 TOS=0x00 PREC=0x00 TTL=57 ID=12662 DF PROTO=UDP SPT=53 DPT=57736 LEN=155
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=52.42.228.219 DST=192.168.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=223 ID=53195 DF PROTO=TCP SPT=80 DPT=51897 WINDOW=0 RES=0x00 RST URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=8.8.8.8 DST=192.168.0.12 LEN=103 TOS=0x00 PREC=0x00 TTL=57 ID=3066 PROTO=UDP SPT=53 DPT=38470 LEN=83
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=23.246.7.181 DST=192.168.0.12 LEN=1500 TOS=0x00 PREC=0x00 TTL=51 ID=1 DF PROTO=TCP SPT=80 DPT=59384 WINDOW=2050 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=50.112.150.76 DST=192.168.0.12 LEN=52 TOS=0x00 PREC=0x00 TTL=224 ID=61411 DF PROTO=TCP SPT=80 DPT=48486 WINDOW=105 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=23.246.7.181 DST=192.168.0.12 LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=59385 WINDOW=2050 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=198.38.120.166 DST=192.168.0.12 LEN=53 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=80 DPT=45951 WINDOW=2050 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=54.148.10.42 DST=192.168.0.12 LEN=60 TOS=0x00 PREC=0x00 TTL=222 ID=0 DF PROTO=TCP SPT=443 DPT=60275 WINDOW=26847 RES=0x00 ACK SYN URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=54.236.150.169 DST=192.168.0.12 LEN=64 TOS=0x00 PREC=0x00 TTL=232 ID=64843 DF PROTO=TCP SPT=443 DPT=41128 WINDOW=374 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=2.22.146.112 DST=192.168.0.12 LEN=466 TOS=0x00 PREC=0x00 TTL=53 ID=47452 DF PROTO=TCP SPT=80 DPT=45904 WINDOW=227 RES=0x00 ACK PSH URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=8.8.8.8 DST=192.168.0.12 LEN=282 TOS=0x00 PREC=0x00 TTL=57 ID=16623 PROTO=UDP SPT=53 DPT=34107 LEN=262
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=46.4.95.110 DST=192.168.0.12 LEN=83 TOS=0x00 PREC=0x00 TTL=50 ID=29782 DF PROTO=TCP SPT=443 DPT=35689 WINDOW=130 RES=0x00 ACK PSH FIN URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=34.214.105.2 DST=192.168.0.12 LEN=52 TOS=0x00 PREC=0x00 TTL=30 ID=7064 DF PROTO=TCP SPT=443 DPT=44561 WINDOW=210 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=2.19.60.89 DST=192.168.0.12 LEN=89 TOS=0x00 PREC=0x00 TTL=53 ID=31061 DF PROTO=TCP SPT=443 DPT=40593 WINDOW=254 RES=0x00 ACK PSH URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=2.22.146.112 DST=192.168.0.12 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=24413 DF PROTO=TCP SPT=80 DPT=47946 WINDOW=360 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=wlx* OUT= MAC=98:** SRC=52.88.121.237 DST=192.168.0.12 LEN=83 TOS=0x00 PREC=0x00 TTL=224 ID=18499 DF PROTO=TCP SPT=443 DPT=35378 WINDOW=120 RES=0x00 ACK PSH URGP=0

6 réponses

Réponse 1 / 6
mamiemando Messages postés 33093 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 4 mai 2024 7 751
Modifié le 12 juin 2018 à 10:04
Bonjour

8.8.8.8 (adresse anycast des DNS de google) et 9.9.9.9 (quad9) sont deux adresses de serveurs DNS. Si tu les utilises pourquoi pas. Si tu n'as pas souvenir de les avoir configuré, tu as peut être installé un programme malveillant qui lui les utilises.

Il faudrait vérifier les autres IPs. Tu peux regarder avec l'outil 
whois
à qui elles appartiennent, parfois, le pays ou le nom de l'opérateur à qui elles sont rattachées permet de se faire une idée. Par exemple certaines d'entre elles sont liées à Akamaï (un serveur de contenu), Amazon, donc rien de suspect à ce stade, mais je n'ai pas regardé pour toutes. Ce qui m'étonne c'est qu'elles soient bloquées par 
ufw
.

Quelques conseils:
  • vérifier la présence d'un rootkit par exemple avec 
    rkhunter
    ,
  • vérifie l'intégrité des paquets avec 
    debsums
    si tu es sous debian,
  • contrôle les processus qui tournent avec 
    ps faux
    et les connexions réseaux ouvertes avec 
    netstat -aultp
    et regarde si tu vous des trucs suspects (résultat significatif seulement une fois les vérifications précédentes faites).
  • regarde des fichiers comme 
    /var/auth/log
    ,


Tu peux notamment jeter un oeil à ce tutoriel. Ou sinon, tu peux aussi réinstaller ton linux.

Bonne chance
0
Réponse 2 / 6
strator
12 juin 2018 à 12:29
@mamiemando


Bonjour,

Merci pour le retour.

Si je vois que c'est trop compliqué pour moi, je relancerais ici ou au pire je réinstallerais linux.
Ce qui est bizarre c'est que j'installe toujours mes logiciels en passant par synaptic et ceux sont toujours les mêmes.
Pour les autres c'est par le site officiel en ligne de commande ou par le debinstalleur mais je check toujours le hash.

En ce qui concerne ton étonnement parce que le firewall bloque des IP qui paraissent légitimes, c'est que je configure toujours mon firewall ainsi, je rejette en entrée et en sortie et je rajoute quelques règles. Je sais que ça fait bretelles et ceinture mais j'ai toujours fais ainsi et ça a toujours marché.

Comme tu peux le constater je n'utilise pas Samba sur mon PC ou des trucs dans le genre et anycast 8.8.8.8 n'est meme pas activé sur ma TV. Mon PC me sert juste à surfer ou regarder des vidéos.

Je me demande si le bazar ne vient pas de la TV au final car les problemes sont récents et la TV aussi. Si c'est le cas, je ferais de la mauvaise pub.

Dans tout les cas, je te remercie encore. A+



53/udp REJECT Anywhere
53/tcp REJECT Anywhere
53/udp (v6) REJECT Anywhere (v6)
53/tcp (v6) REJECT Anywhere (v6)
53/udp ALLOW OUT Anywhere
53/tcp REJECT OUT Anywhere
53/tcp (v6) REJECT OUT Anywhere (v6)

80/udp REJECT Anywhere
80/tcp REJECT Anywhere
80/udp (v6) REJECT Anywhere (v6)
80/tcp (v6) REJECT Anywhere (v6)
80/tcp ALLOW OUT Anywhere
80/udp REJECT OUT Anywhere
80/udp (v6) REJECT OUT Anywhere (v6)

443/udp REJECT Anywhere
443/tcp REJECT Anywhere
443/udp (v6) REJECT Anywhere (v6)
443/tcp (v6) REJECT Anywhere (v6)
443/tcp ALLOW OUT Anywhere
443/udp REJECT OUT Anywhere
443/udp (v6) REJECT OUT Anywhere (v6)
0
Réponse 3 / 6
strator
12 juin 2018 à 19:56
@mamiemando,


Voila un résumé de ce que tu as proposé.

Pour Rkhunter, la mise à jour ne pouvait pas se faire, donc il est lancé tel quel.
Pour ps faux, c'est du chinois pour moi. Pleins de TTY avec des "?", je ne sais pas si c'est représentatif de quelque chose, si il faut je peux le poster.
Pour le fichier /var/auth/log, pareil, je n'ai pas les capacités pour voir si c'est OK ou pas, je peux le poster si il faut.

Merci.




rkhunter:

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
/usr/bin/lwp-request [ Warning ]
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Suspicious Shared Memory segments [ None found ]
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
Checking for an SSH configuration file [ Not found ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ None found ]

[Press <ENTER> to continue]



System checks summary
=====================

File properties checks...
Files checked: 138
Suspect files: 1

Rootkit checks...
Rootkits checked : 364
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 2 minutes and 55 seconds



chkrootkit:

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id

Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd

wlx*****: PACKET SNIFFER(/sbin/wpa_supplicant[1127], /sbin/wpa_supplicant[1127], /sbin/dhclient[32196])
Checking `chkutmp'...The tty of the following user process(es) were not found in /var/run/utmp !



netstat -aultp:

Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 *********:domain *:* LISTEN 1610/dnsmasq
tcp 0 0 localhost:ipp *:* LISTEN 904/cupsd
tcp 0 0 192.168.0.10:45920 a88-221-83-73.depl:http ESTABLISHED 16320/firefox
udp 0 0 *:43910 *:* 1610/dnsmasq
udp 0 0 *********:domain *:* 1610/dnsmasq
udp 0 0 *:bootpc *:* 16566/dhclient
0
Réponse 4 / 6
mamiemando Messages postés 33093 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 4 mai 2024 7 751
13 juin 2018 à 13:09
A priori rien de suspect pour le moment.

Ce que tu peux faire assez simplement c'est débrancher ta télé pour voir si c'est elle qui engendre tant d'activité sur ton pare-feu.

Je suppose que 
192.168.0.12
correspond à ta télé ?

Regarde avec la commande 
top
ce qui consomme du CPU.

Bonne chance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
strator
14 juin 2018 à 17:18
Bonjour,

Je suppose que 192.168.0.12 correspond à ta télé ? Non, c'est mon PC.

C'est pour ça que je suis un peu étonné surtout après ton explication sur le 8.8.8.8 d'anycast. Sur ma TV, anycast est clairement désactivé, je n'en ai pas l'utilité. J'avais inscris le DNS de quad9 en mode manuel du DHCP mais c'est tout, j'ai tout remis en automatique avec les adresses du FAI et ça va mieux depuis, cela semble résolu.

J'ai l'impression que dans les dépôts d'applis de la TV, il y en a qui sont un peu trop curieuse, mais comme expliqué plus haut, je n'ai que Netflix d'installé. Je peux comprendre que Netflix puisse parcourir pour des raisons techniques mon PC pour le partage de supports mais je n'ai pas activé cette option.

Bizarre de me retrouver avec des adresses de quad9, google et amazon (appli d'amazon que je n'ai pas sur ma TV) sur mon PC.

En gros si c'était à refaire je n’achèterais pas un produit de la marque qui commence par un H et qui sponsorise la coupe du monde.

Merci pour tout Mamiemando.
0
Réponse 6 / 6
mamiemando Messages postés 33093 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 4 mai 2024 7 751
15 juin 2018 à 09:46
C'est pour ça que je suis un peu étonné surtout après ton explication sur le 8.8.8.8 d'anycast. Sur ma TV, anycast est clairement désactivé...

On s'est mal compris : 8.8.8.8 est une IP anycast, ça signifie qu'elle désigne selon où tu te trouves dans le monde un serveur DNS différent. C'est une considération indépendante de ta télévision.

J'ai l'impression que dans les dépôts d'applis de la TV, il y en a qui sont un peu trop curieuses

C'est probable, c'est pour ça que je te proposais de faire le test avec la télévision éteinte. Donc visiblement c'est bien elle qui est en cause ?

Bizarre de me retrouver avec des adresses de quad9, google et amazon (appli d'amazon que je n'ai pas sur ma TV) sur mon PC.

Pour amazon ça me surprend moyennement (publicités, accès à un cloud...) pour quad9 je ne sais pas.

En gros si c'était à refaire je n’achèterais pas un produit de la marque qui commence par un H et qui sponsorise la coupe du monde.

Héhé je te comprends, mais hélas, il ne faut pas se leurrer, ce n'est sûrement pas (hélas) un cas isolé. Je pense même que ce qui se fait sur les smartphones est à mon avis bien pire en matière de vie privée et de choses faites à l'insu de l'utilisateur.

C'est pour ça que côté PCs, on est content qu'il existe des systèmes comme linux. Ce qui sera super c'est quand on aura le même genre d'alternatives pour les smarts TV, les smartphones (et plus généralement les objets connectés). Malheureusement à ce stade les projets existants sont pour autant que je sache encore à leurs débuts...
0

Discussions similaires

[URGENT] Que veut dire prise (AUX IN)?
quentinel -
ankae -

18 réponses
qu'est ce qu'une prise DC IN ?
daphdu974 -
Andy31200 -

3 réponses
Avis site DECO IN PARIS decoinparis.com (lina sofas)
robby54 -
Matthieu -

313 réponses
Que veut dire " in da place " ?
westcoastDJ -
fyu -

9 réponses
Arnaque du site light in the box
paoupet -
brucine -

40 réponses