Machine corrumpus ? Connection suspectes...
Résolu
ange
-
ange -
ange -
Bonjour à tous,
Voilà je viens de démarrer à l'instant mon ordinateur sous SE GNU/Linux Ubuntu 7.10
Au démarrage je lance un netstat -antu
Et là bham je vois un FIN_WAIT2 sur cette connection :
tcp 0 0 192.168.1.10:43159 140.115.183.177:443 FIN_WAIT2
Bon déjà ce qui éveille mes soupçons, c'est le port utilisé, https. Alors que je n'avais rien lancé encore...
Ensuite je vais sur le site, et c'est écrit en taiwannais, un whois me ramène à :
Hmm hmm... Déjà la connection a été fermé, on le voit par le FIN_WAIT2.
Mais impossible de savoir quel est le programme source en ajoutant l'argument p à netstat...
Ensuite le second tout aussi suspect qui est établit actuellement sur cette adresse ip : 65.111.168.165...
Le fait de ne pas voir les processus responsables, m'indique peut être qu'ils sont cachés par un rookit lkm ? bizarre, le gars serait si mauveis pour ne pas cacher également ses connections ?
Mais alors, comment a t-il pu réussir son coup ?
Je me lance donc dans les logs.
Lastlog pour commencer :
Tous les autres utilisateurs jamais connecté, sauf moi... donc rien de suspect.(Mais attention un rootkit a très bien pu passer avant).
Last(wtmp)
Toujours rien de suspect.
who
Rien, il n'y a que mes consoles...
Je reviens donc sur les deux IPs bizarre. J'établis une recherche, en faisant du reverse dns, ainsi que du transfert dns pour avoir des informations et là bingo :
military.ncu.edu.tw et 140.115.183.177 (deadliver.org) appartiennent à la même personne (ou organisation?).
Hmm... je lance un chkrootkit, bilan négatif. Là je me demande si chkrootkit est perfomant, car de ce que je sais, il agit uniquement en se basant sur la taille des binaires... or si j'ai affiare à un rootkit...
Maintenant mes questions sont :
Pourquoi ces connections au départ!?
Quelles petites pistes ou méthodes pourriez me conseiller pour savoir si il y a eu intrusion!?
J'aimerais avoir de l'aide pour savoir où je dois chercher exactement.
Merci
Voilà je viens de démarrer à l'instant mon ordinateur sous SE GNU/Linux Ubuntu 7.10
Au démarrage je lance un netstat -antu
Et là bham je vois un FIN_WAIT2 sur cette connection :
tcp 0 0 192.168.1.10:43159 140.115.183.177:443 FIN_WAIT2
Bon déjà ce qui éveille mes soupçons, c'est le port utilisé, https. Alors que je n'avais rien lancé encore...
Ensuite je vais sur le site, et c'est écrit en taiwannais, un whois me ramène à :
person: Admin NCU address: National Central University address: Taoyuan Taiwan e-mail: abuse@ncu.edu.tw nic-hdl: AN193-TW changed: hostmaster@twnic.net.tw20041014 source: TWNIC
Hmm hmm... Déjà la connection a été fermé, on le voit par le FIN_WAIT2.
Mais impossible de savoir quel est le programme source en ajoutant l'argument p à netstat...
Ensuite le second tout aussi suspect qui est établit actuellement sur cette adresse ip : 65.111.168.165...
Le fait de ne pas voir les processus responsables, m'indique peut être qu'ils sont cachés par un rookit lkm ? bizarre, le gars serait si mauveis pour ne pas cacher également ses connections ?
Mais alors, comment a t-il pu réussir son coup ?
Je me lance donc dans les logs.
Lastlog pour commencer :
Tous les autres utilisateurs jamais connecté, sauf moi... donc rien de suspect.(Mais attention un rootkit a très bien pu passer avant).
Last(wtmp)
Toujours rien de suspect.
who
Rien, il n'y a que mes consoles...
Je reviens donc sur les deux IPs bizarre. J'établis une recherche, en faisant du reverse dns, ainsi que du transfert dns pour avoir des informations et là bingo :
military.ncu.edu.tw et 140.115.183.177 (deadliver.org) appartiennent à la même personne (ou organisation?).
Hmm... je lance un chkrootkit, bilan négatif. Là je me demande si chkrootkit est perfomant, car de ce que je sais, il agit uniquement en se basant sur la taille des binaires... or si j'ai affiare à un rootkit...
Maintenant mes questions sont :
Pourquoi ces connections au départ!?
Quelles petites pistes ou méthodes pourriez me conseiller pour savoir si il y a eu intrusion!?
J'aimerais avoir de l'aide pour savoir où je dois chercher exactement.
Merci
A voir également:
- Machine corrumpus ? Connection suspectes...
- Machine virtuelle windows - Guide
- Gmail connection - Guide
- Time machine - Guide
- Check cable connection - Forum Matériel & Système
- Connection chromecast - Guide
