[RÉSEAU] Tentatives de connections incessantes

Bonjour à tous,

Je viens de me prendre une saloperie sur un de mes PC, saloperie qui a été jugulé a temps et éradiquée par mes soins …

Mais elle a du quand même prévenir son papa qu’elle tentait une install chez moi car depuis (1heure) j’ai un log pas possible du firewall de mon routeur :

Jan 26 23:43:39 Tomato user.warn kernel: DROP IN=vlan1 OUT= MAC=00:1d:7e:ed:75:fd:00:07:cb:32:a7:fb:08:00:45:00:00:83 SRC=87.194.247.57 DST=82.xxx.xxx.xxx LEN=131 TOS=0x00 PREC=0x00 TTL=117 ID=2412 PROTO=UDP SPT=63647 DPT=26626 LEN=111 Jan 26 23:43:48 Tomato user.warn kernel: DROP IN=vlan1 OUT= MAC=00:1d:7e:ed:75:fd:00:07:cb:32:a7:fb:08:00:45:00:00:34 SRC=113.11.5.90 DST=82.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=24400 DF PROTO=TCP SPT=13822 DPT=62963 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020 Jan 26 23:43:51 Tomato user.warn kernel: DROP IN=vlan1 OUT= MAC=00:1d:7e:ed:75:fd:00:07:cb:32:a7:fb:08:00:45:00:00:34 SRC=113.11.5.90 DST=82.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=25016 DF PROTO=TCP SPT=13822 DPT=62963 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020 Jan 26 23:43:56 Tomato user.warn kernel: DROP IN=vlan1 OUT= MAC=00:1d:7e:ed:75:fd:00:07:cb:32:a7:fb:08:00:45:00:00:83 SRC=87.241.132.21 DST=82.xxx.xxx.xxx LEN=131 TOS=0x00 PREC=0x00 TTL=112 ID=20932 PROTO=UDP SPT=55852 DPT=26626 LEN=111 Jan 26 23:43:56 Tomato user.warn kernel: DROP IN=vlan1 OUT= MAC=00:1d:7e:ed:75:fd:00:07:cb:32:a7:fb:08:00:45:00:00:83 SRC=173.183.77.212 DST=82.xxx.xxx.xxx LEN=131 TOS=0x00 PREC=0x00 TTL=109 ID=17215 PROTO=UDP SPT=27234 DPT=26626 LEN=111 Jan 26 23:43:57 Tomato user.warn kernel: DROP IN=vlan1 OUT= MAC=00:1d:7e:ed:75:fd:00:07:cb:32:a7:fb:08:00:45:00:00:30 SRC=113.11.5.90 DST=82.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=28130 DF PROTO=TCP SPT=13822 DPT=62963 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020Et y en a des tones …
Ca tente plein de ports, depuis plein d’adresse différentes, mais jusque ici mon routeur (Tomato) les rejettes et les seuls ports ouverts ne craignent rien car ils sont tous redirigés sur une machine Linux.

J’en viens donc a vous pour me rassurer, à force de rejeter leurs requêtes vont-il zapper mon IP ? ou bien mon routeur ne connaitra plus le repos ?
Comment ca se passe quand on tombe la dedans ? Mon IP rentre dans une liste monnayable (comme une adresse mail pour le spam) ?

Merci

Bah je sais pas trop. Ca dépend de ce que cherche le mec à l’autre bout. Si c’est installer une merde genre adware chez toi et que c’est automatique, y a fort à parier qu’au bout d’un moment ça va s’arrêter. Par contre si c’est pour le challenge, il se peut qu’il trouve ça rigolo et qu’il essaye de rentrer

Ca craint rien, ca depend, si t’es bien a jour, ca devrait pas trop craindre en theorie, sauf si y a un nouveau trou dans un soft que tu utilises.

Et que s’il veut rentrer, il rentrera.

LoneWolf
La securite 100%, ca existe pas (sauf a couper le cable)

[quote=“LoneWolf, post:3, topic: 50698”]Et que s’il veut rentrer, il rentrera.

LoneWolf
La securite 100%, ca existe pas (sauf a couper le cable)[/quote]

ouais tout à fait d’accord. Après faut voir ce que t’as à protéger derrière…

[quote=“LoneWolf, post:3, topic: 50698”]Ca craint rien, ca depend, si t’es bien a jour, ca devrait pas trop craindre en theorie, sauf si y a un nouveau trou dans un soft que tu utilises.

Et que s’il veut rentrer, il rentrera.

LoneWolf
La securite 100%, ca existe pas (sauf a couper le cable)[/quote]

Y’a un peu une incohérence dans ce que tu racontes.
D’un coté “si t’es a jour, tu crains rien” et de l’autre “s’il veux rentrer, il rentrera.”

Pour préciser :
S’il n’y a pas de faille connue (par l’attaquant) et exploitable, à la fois au niveau du routeur / parefeu, et des machines directement accessibles tu ne crains rien.

La très grosse majorité des attaquants n’ont pas les ressources pour rechercher de nouvelles failles sur le materiel (éventuellement) détecté chez l’attaqué. Je ne dirais donc pas “s’il veut rentrer, il rentrera”. Mais “s’il veux rentrer et à les ressources nécessaires, il aura quelques chances d’y arriver” : non pas en utilisant une faille, mais plutôt du brute-force (ssh …)

Pour en revenir au sujet :
AcidBen s’est pris une crasse (s’il pouvait nous dire s’il l’a identifiée ?).
La majorité des crasses aujourd’hui servent à constituer des botnets, qui fonctionnent de plus en plus sur un model P2P distribué (un peu a la facon de kademlia ou DHT). Ici, la bestiolle à été active quelques moments, et à donc intégrée botnet. Les autres membres du botnet cherchent juste à reprendre contact. A sa place, je m’inquièterais pas plus que ca.

Un PC corrompu, c’est le mal, et c’est jamais safe :s Et la du coup, tu te fais juste spammer les ports. Bloques les, ou les “IP” comme t’as deja fait, ca risque plus grand chose.

TUUUUUT : pas possible. Comme je l’indique : c’est le botnet qui tente de reprendre contact.
Les ports en question sont indéfinis. Tout comme les IP sources (tu verra sans doute pas deux fois la même ip, c’est le botnet entier qu’il faut bannir, chose impossible vu que tu ne connais pas son étendue).

Chose chiante, les attaques (ici, s’en est sans doute pas une) deviennent distribuées. Pour éviter les attaques en brute-force, il suffisait de bannir les IP au bout d’un certain nombre d’erreurs d’authentification. Maintenant, les scans viennent de tout un botnet. On vois plus deux fois la même IP dans les logs…

Alors petites précisions depuis hier:

Je pense au vu des logs de mon AV que tout ca viens d’un downloader car j’y vois une ribambelle de vers et trojans différents (braolab, hupigon, ertfor, pour ceux qui ont un nom) qui ont été bloqués, mais un est passé (non détecté donc je ne peux pas vous en dire le nom) je l’ai viré manu militari (service, entrées registre, démarrages, fichiers etc…)
Il téléchargeait un fichier svchost.exe dans un dossier du type xxxx.xx (aléatoire) dans le répertoire c:\windows\temp duquel il avait changé les droits (inaccessible sans réappropriation)
Il a aussi désactivé la restauration du système (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore DisableSR = 1 à remettre sur 0)

Bon au sujet des connections je ne suis pas plus inquiet que ça car il tente de se connecter sur le machin qu’il croit avoir installé chez moi mais il n’y est pas et de plus mon routeur l’envoi paitre.

Pour en revenir a mon routeur je ne pense pas qu’il puisse tenter quoi que ce soit c’est un WRT54GL avec Tomato, les seuls ports ouverts sont le 80 qui mène vers un serveur linux et un ssh distant que je me suis empressé de fermer.
Je pense pas que niveau sécu je craigne quelque chose si les affaires continues comme ca, mais ce que je crains le plus c’est que mon IP tombe dans une liste de “clients potentiels” et que j’ai droit à toutes les nouvelles attaques du marché … avec cette config je ne crains pas grand-chose (a moins d’un 0 Day d’Apache…), mais j’ai pas non plus envi que tous les zombies du monde probe mon routeur 15 fois par secondes.

Fin bref je vous dirais un peut ce qu’il en est si les tentatives continuent ou pas d’ici quelques jours…

[quote=« Tzim, post:5, topic: 50698 »]Y’a un peu une incohérence dans ce que tu racontes.
D’un coté « si t’es a jour, tu crains rien » et de l’autre « s’il veux rentrer, il rentrera. »[/quote]
Boh non c’est pas si incoherent, la mise a jour reduit les risques mais ne les eliminent pas totalement non plus, d’ou la fin.

[quote=« Tzim, post:5, topic: 50698 »]Pour préciser :
S’il n’y a pas de faille connue (par l’attaquant) et exploitable, à la fois au niveau du routeur / parefeu, et des machines directement accessibles tu ne crains rien.

La très grosse majorité des attaquants n’ont pas les ressources pour rechercher de nouvelles failles sur le materiel (éventuellement) détecté chez l’attaqué. Je ne dirais donc pas « s’il veut rentrer, il rentrera ». Mais « s’il veux rentrer et à les ressources nécessaires, il aura quelques chances d’y arriver » : non pas en utilisant une faille, mais plutôt du brute-force (ssh …)[/quote]
Ce qui revient a peu pres au même que ma phrase, la tienne étant plus précise quand aux limitations (notamment les ressources, sur lesquelles je suis d’accord). Et pour ssh, fail2ban est son ami (meme si, contre un botnet, ca devient pénible a protéger mais bon)

LoneWolf
Quel chipoteur ce tzim :smiley:

C’est ce que je dis plus haut : fail2ban (j’utilisais un systeme équivalent) ne sers plus à rien avec les nouveaux modes d’attaques des botnets.

Ho, et puis si je chipote, c’est que si y’a bien un domaine où il faut être précis, c’est bien la sécurité.
On vois de tout et beaucoup de n’importe quoi pour faire peur et vendre tel ou tel produit qu’on deviens vite alarmiste et qu’on en oublie l’essentiel.

J’ai un peu envie de te dire « mais qu’est-ce que ca peux te faire » (a moins que ca te pompe un grosse partie de ta BP ?).
Sinon, à ta place, la machine infectée, c’est réinstall direct.

Le soucis la c’est que je suis obligé de couper le SSH car le service tourne directement sur le routeur (qui lui peut se connecter en interne sur le serveur).
Et vu que je ne peut pas installer ce que je veux sur le routeur, j’ai rendu le service inaccessible depuis le WAN, ce qui n’est vraiment pas grave…

Puis comme expliqué ci-dessus les adresses IP sont rarement les mêmes…

EDIT :

[quote=“Tzim, post:10, topic: 50698”]J’ai un peu envie de te dire “mais qu’est-ce que ca peux te faire” (a moins que ca te pompe un grosse partie de ta BP ?).[/quote]Beh justement, j’aimerai pas que ca en arrive jusque là.

Oui tzim, je suis d’accord, ce que je voulais dire, c’est que, si ya pas de raisons contraires, il peut bloquer les ports et les ip non voulues automatiquement. Il me semble que c’etait possible avec un bete firewall linux (donc surement avec son routeur). Par contre, sur son pc qui a prit l’eau, je maintiens que le garder en l’etat, c’est le mal.

c’est la que tu te dis qu’une ip fixe, c’est pas forcement une si bonne chose …

tu nous dira dans 6 mois si ca s’est arretté : :smiley:

Sinon,

  • tu n’as pas l’uPnp sur ton routeur?
  • tu as vérifié les rootkits?
  • tu es en IP wan fixe?
  • check surtout tes ports de sortie venant de ton pc (en esperant que tu n’as pas de upnp)

[quote]- tu n’as pas l’uPnp sur ton routeur?[/quote]Oui, mais je l’ai désactivé[quote]- tu as vérifié les rootkits?[/quote]Oui j’ai passé RootkitRevealer (qui m’a rien trouvé d’anormal) et AVG AntiRootKit Free (qui m’a rien trouvé du tout)[quote]- tu es en IP wan fixe?[/quote]IP Fixe (crez Free)[quote]- check surtout tes ports de sortie venant de ton pc (en esperant que tu n’as pas de upnp)[/quote]Je sniffe depuis hier soir 5mn par heure (env) histoire de voir un peut ce qui se trame sur le réseau (oui, jeu de mot douteux :smiley: )

Bon ca fait maintenant un mois et apparemment tout s’est fini petit à petit, le fait de désactiver la réponse au ping y a beaucoup fait je pense…
J’ai noté quelques tentatives distribuées de temps en temps mais quasiment plus aucune maintenant (toujours un petit comique qui scanne depuis mon subnet WAN les 21,22,135,445)

Sinon toute cette histoire m’a permis de re-découvrir Link Logger qui est vraiment pas mal du tout pour analyser (en temps réel ou pas) les logs de son routeur.
Si vous connaissez le même genre de soft gratuit je suis preneur (de préférence sous Windows)