Machine corrumpus ? Connection suspectes... [Résolu/Fermé]

Signaler
-
 ange -
Bonjour à tous,

Voilà je viens de démarrer à l'instant mon ordinateur sous SE GNU/Linux Ubuntu 7.10
Au démarrage je lance un netstat -antu

Et là bham je vois un FIN_WAIT2 sur cette connection :

tcp 0 0 192.168.1.10:43159 140.115.183.177:443 FIN_WAIT2

Bon déjà ce qui éveille mes soupçons, c'est le port utilisé, https. Alors que je n'avais rien lancé encore...
Ensuite je vais sur le site, et c'est écrit en taiwannais, un whois me ramène à :
person:       Admin NCU
address:      National Central University
address:      Taoyuan Taiwan
e-mail:       abuse@ncu.edu.tw
nic-hdl:      AN193-TW
changed:      hostmaster@twnic.net.tw20041014
source:       TWNIC


Hmm hmm... Déjà la connection a été fermé, on le voit par le FIN_WAIT2.
Mais impossible de savoir quel est le programme source en ajoutant l'argument p à netstat...

Ensuite le second tout aussi suspect qui est établit actuellement sur cette adresse ip : 65.111.168.165...

Le fait de ne pas voir les processus responsables, m'indique peut être qu'ils sont cachés par un rookit lkm ? bizarre, le gars serait si mauveis pour ne pas cacher également ses connections ?
Mais alors, comment a t-il pu réussir son coup ?

Je me lance donc dans les logs.

Lastlog pour commencer :
Tous les autres utilisateurs jamais connecté, sauf moi... donc rien de suspect.(Mais attention un rootkit a très bien pu passer avant).
Last(wtmp)
Toujours rien de suspect.
who
Rien, il n'y a que mes consoles...

Je reviens donc sur les deux IPs bizarre. J'établis une recherche, en faisant du reverse dns, ainsi que du transfert dns pour avoir des informations et là bingo :
military.ncu.edu.tw et 140.115.183.177 (deadliver.org) appartiennent à la même personne (ou organisation?).

Hmm... je lance un chkrootkit, bilan négatif. Là je me demande si chkrootkit est perfomant, car de ce que je sais, il agit uniquement en se basant sur la taille des binaires... or si j'ai affiare à un rootkit...

Maintenant mes questions sont :
Pourquoi ces connections au départ!?
Quelles petites pistes ou méthodes pourriez me conseiller pour savoir si il y a eu intrusion!?

J'aimerais avoir de l'aide pour savoir où je dois chercher exactement.
Merci

1 réponse

Bonjour j'ai trouvé la source du problème!

Grâce aux gens #hzv sur irc, je sais maintenant que c'est TOR qui est reponsable de l'ouverture de ces connections!

Merci à eux.

ps : parcontre je peux plus le mettre en résolu ?