[backdoor!] mon archlinux est une passoire

Applications, problèmes de configuration réseau
oktoberfest
Maître du Kyudo
Messages : 1855
Inscription : mer. 06 janv. 2010, 13:51
Localisation : Ried - Alsace - France

Re: [backdoor!] mon archlinux est une passoire

Message par oktoberfest » ven. 07 nov. 2014, 08:25

bobo a écrit :— C'est louche que la plupart de tes services aient des dates genre « 2 sept. 04:10 », que faisais-tu le 2 septembre à 4h10 ?
On peut déjà regarder si il y a des traces dans le journal :

Code : Tout sélectionner

journalctl --since 2014-09-02
La majorité des bugs se situe entre la chaise et le clavier...
Arrêtez de vous prendre la tête avec les partitions... passez au LVM

rasta
archer
Messages : 142
Inscription : mar. 21 févr. 2012, 02:16

Re: [backdoor!] mon archlinux est une passoire

Message par rasta » sam. 08 nov. 2014, 16:49

Le 2septembre à 4h10 il n'y absolue aucun log de systemd. Systemd indique qu'il c'est arrété à 2h23 le 2 septembre sur un shutdown (probablement mon S2disk) et qu'il a reboot à 18:41:35 le même jour:

Code : Tout sélectionner

sept. 02 02:23:42 rop systemd[1]: Stopping LVM2 metadata daemon..
sept. 02 02:23:42 rop systemd[1]: Stopped LVM2 metadata daemon.
sept. 02 02:23:42 rop mkinitcpio[429]: ==> Build complete.
sept. 02 02:23:42 rop systemd[1]: Started Generate shutdown-ramfs.
sept. 02 02:23:42 rop systemd[1]: Starting Shutdown.
sept. 02 02:23:42 rop systemd[1]: Reached target Shutdown.
sept. 02 02:23:42 rop systemd[1]: Starting Final Step.
sept. 02 02:23:42 rop systemd[1]: Reached target Final Step.
sept. 02 02:23:42 rop systemd[1]: Starting Power-Off...
sept. 02 02:23:42 rop systemd[1]: Shutting down.
sept. 02 02:23:42 rop systemd-shutdown[1]: Sending SIGTERM to remaining processes... 
sept. 02 02:23:42 rop systemd-journal[129]: Journal stopped 
-- Reboot -- 
sept. 02 18:41:35 rop systemd-journal[129]: Runtime journal is using 8.0M (max allowed 150.6M, trying to leave 225.9M free of 1.4G available → current limit 150.6M). 
sept. 02 18:41:35 rop kernel: Initializing cgroup subsys cpuset 
sept. 02 18:41:35 rop kernel: Initializing cgroup subsys cpu 
sept. 02 18:41:35 rop kernel: Initializing cgroup subsys cpuacct 
sept. 02 18:41:35 rop kernel: Linux version 3.16.1-1-ARCH (nobody@var-lib-archbuild-testing-x86_64-tobias) (gcc version 4.9.1 (GCC) ) #1 SMP PREEMPT Thu Aug 14 07:40:19 CEST 2014 
sept. 02 18:41:35 rop kernel: Command line: BOOT_IMAGE=../vmlinuz-linux root=/dev/sda3 rw vga=773 initrd=../initramfs-linux.img



Après avoir désactivé les services telnet, login, rsh, ftpd, kerberos j'ai posté le scan de nmap en scannant tout les ports tcp de ma machine et il m'indiquait ceci:

Code : Tout sélectionner

#nmap -p- -A -T4 192.168.0.162
...
PORT          STATE        SERVICE       VERSION

5355          open         unknow
19532        open         tcpwrapped
...
par la suite un petit travail avec la commande nestat m'indique ceci:

Code : Tout sélectionner

#netstat -lpnput
Active Internet connections (only servers)
Proto   Recv-Q     Send-Q     Local Address           Foreign Address         State       PID/Program name    
tcp        0           0               0.0.0.0:5355            0.0.0.0:*                      LISTEN      379/systemd-resolve 
tcp6       0          0               :::5355                     :::*                               LISTEN      379/systemd-resolve 
tcp6       0          0               :::19532                   :::*                               LISTEN      1/init              
udp        0          0              0.0.0.0:68                 0.0.0.0:*                                      2936/dhcpcd         
udp        0          0              0.0.0.0:518               0.0.0.0:*                                      1/init              
udp        0          0              0.0.0.0:55829           0.0.0.0:*                                      285/systemd-timesyn 
udp        0          0              0.0.0.0:5355             0.0.0.0:*                                      379/systemd-resolve 
udp6       0         0               :::5355                     :::*                                               379/systemd-resolve 
on voit que les procesus init, systemd-resolve et systemd-timesyn sont lancé sur le réseau. Ceci est-il normal???

Pour systemd-resolve et systemd-timesyn je ne sais pas, mais pour le procesus init je pense que ce n'est pas normal!!!!

benjarobin
Maître du Kyudo
Messages : 15406
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [backdoor!] mon archlinux est une passoire

Message par benjarobin » sam. 08 nov. 2014, 22:54

Si c'est normal que l'init écoute sur des ports car ton PC est configuré pour le faire...
Pour rappel c'est ce que font les fichiers /etc/systemd/system/*.socket
Après comment est arrivé cette configuration dur ton PC, tu es le seul à le savoir !
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)

rasta
archer
Messages : 142
Inscription : mar. 21 févr. 2012, 02:16

Re: [backdoor!] mon archlinux est une passoire

Message par rasta » mar. 11 nov. 2014, 16:05

Ok mai comment puis-je à ce niveau fermer tout ces ports?

désactiver les services init, systemd-resolve et system-times??

peut-on me guider car je pense pas que l'on puisse désactiver L'init vue que c'est un processus nécessaire au lancement du system?
Comment puis je faire?

benjarobin
Maître du Kyudo
Messages : 15406
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [backdoor!] mon archlinux est une passoire

Message par benjarobin » mar. 11 nov. 2014, 16:26

Redonne la sortie de :

Code : Tout sélectionner

tree /etc/systemd/system
Cette sortie ne doit contenir que des services que tu as besoin !
On t'a déjà indiqué qu'il fallait en désactiver un certains nombres... Il suffit de le faire.
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)

rasta
archer
Messages : 142
Inscription : mar. 21 févr. 2012, 02:16

Re: [backdoor!] mon archlinux est une passoire

Message par rasta » mar. 11 nov. 2014, 17:42

Voicie ma sortie de 'tree /etc/systemd/system'

Code : Tout sélectionner

/etc/systemd/system
├── default.target.wants
│   ├── systemd-readahead-collect.service -> /usr/lib/systemd/system/systemd-readahead-collect.service
│   └── systemd-readahead-replay.service -> /usr/lib/systemd/system/systemd-readahead-replay.service
├── getty.target.wants
│   └── getty@tty1.service -> /usr/lib/systemd/system/getty@.service
├── multi-user.target.wants
│   ├── dhcpcd.service -> /usr/lib/systemd/system/dhcpcd.service
│   ├── fstrim.timer -> /usr/lib/systemd/system/fstrim.timer
│   ├── ip6tables.service -> /usr/lib/systemd/system/ip6tables.service
│   ├── iptables.service -> /usr/lib/systemd/system/iptables.service
│   ├── mdadm.service -> /usr/lib/systemd/system/mdadm.service
│   ├── netctl.service -> /usr/lib/systemd/system/netctl.service
│   ├── nscd.service -> /usr/lib/systemd/system/nscd.service
│   ├── remote-fs.target -> ../../../../usr/lib/systemd/system/remote-fs.target
│   ├── systemd-journal-upload.service -> /usr/lib/systemd/system/systemd-journal-upload.service
│   ├── systemd-networkd.service -> /usr/lib/systemd/system/systemd-networkd.service
│   └── systemd-resolved.service -> /usr/lib/systemd/system/systemd-resolved.service
├── sleep.target.wants
│   └── netctl-sleep.service -> /usr/lib/systemd/system/netctl-sleep.service
├── sockets.target.wants
│   ├── systemd-journal-remote.socket -> /usr/lib/systemd/system/systemd-journal-remote.socket
│   ├── talk.socket -> /usr/lib/systemd/system/talk.socket
│   └── uuidd.socket -> /usr/lib/systemd/system/uuidd.socket
├── sysinit.target.wants
│   ├── blk-availability.service -> /usr/lib/systemd/system/blk-availability.service
│   ├── dm-event.service -> /usr/lib/systemd/system/dm-event.service
│   ├── lvm2-lvmetad.service -> /usr/lib/systemd/system/lvm2-lvmetad.service
│   ├── lvm2-monitor.service -> /usr/lib/systemd/system/lvm2-monitor.service
│   └── systemd-timesyncd.service -> /usr/lib/systemd/system/systemd-timesyncd.service
└── system-update.target.wants
    └── systemd-readahead-drop.service -> /usr/lib/systemd/system/systemd-readahead-drop.service

7 directories, 24 files
A part mon dhcpcd, je n'ai besoin de rien d'autre. Je fais juste un peut de dev, du virtualbox et du web.
Qu'elles services puis-je désactiver au maximum??

De plus, un firewall (genre iptable) sur une machine utilisateur banal est-il vraiment nécéssaire si l'on maitrise les services qui son lancé sur le réseau ???
Iptable est-il installé par défaut sous archlinux? Car le service est lancé et je n'ai jamais procéder à son installation!!

Comment peut-on lister tout les paquets venant d'AUR et qui sont installé dans le système?


Merci d'avance de vos réponse et votre aide qui continue.

benjarobin
Maître du Kyudo
Messages : 15406
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [backdoor!] mon archlinux est une passoire

Message par benjarobin » mar. 11 nov. 2014, 18:42

Par défaut rien n'est installé ! Tu l'as forcément installé toi même !
pacman -Qm ou yaourt -Qma pour avoir les paquets de AUR

Les services readahead sont optionnels, tu as surement une bonne raison pour les avoir activés...
Si tu as un SSD garde fstrim.timer
Si tu n'as pas configuré le par feu cela ne sert à rien de lancer les services iptables
Même si tu as un RAID logiciel tu dois supprimer le service mdadm, il est lancé tout seul via udev
Les services netctl et netctl-sleep sont inutiles si tu utilises déjà dhcpcd
Le service nscd est un système de cache, tu peux sans aucun souci l'enlever
Les services systemd-journal-upload et systemd-journal-remote sont très certainement inutilisés...
Les services systemd-networkd et systemd-resolved sont inutiles si tu utilises déjà dhcpcd
Les services lvm2, dm-event.service et blk-availability.service ne sont nécessaire que si utilises LVM...
talk.socket, permet de lancer le service talk qui permet apparemment de discuter... Sincèrement je ne pense pas que tu utilises ceci
Le service uuidd (Daemon for generating UUIDs), idem je ne pense pas que tu en es besoin
Le service systemd-timesyncd.service permet la synchronisation avec l'heure, idem, c'est optionnel...

Comment es tu arrivé à activer tous ces services ?
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)

rasta
archer
Messages : 142
Inscription : mar. 21 févr. 2012, 02:16

Re: [backdoor!] mon archlinux est une passoire

Message par rasta » mer. 12 nov. 2014, 16:28

Bonjour,

Et bien Benjarobin tous ces services ce sont lancé sans aucune volonté de ma part. Alors peut être que une configuration automatique lors d'une installation a lancé ces services pour moi mais en aucun cas cela est volontaire.

les paquets provenant de AUR et qui sont installé sur ma machine sont les suivant:

Code : Tout sélectionner

aur/chromium-pepper-flash 1:15.0.0.189-1 ( aur: 1:15.0.0.223-1 )
aur/openoffice 4.1.0-2
aur/package-query 1.4-1
aur/pcalc 2-3
aur/sendmail 8.14.9-1
aur/ttf-ms-fonts 2.0-10
aur/ttf-vista-fonts 1-8
aur/uswsusp-git 0.r501.g668c5f7-5
aur/virtualbox-ext-oracle 4.3.16-1 ( aur: 4.3.18-1 )
aur/yaourt 1.5-1
Et il ne me semble pas que ces paquets sortent de l'ordinaire ???

En suivant tes conseils j'ai réussi a rétablir une machine en apparence saine:
- le minimum de service activer
- un seul service lancé sur ma machine et sur le réseau -> le dhcp
- aucune connexion entrante et sortante quand il ne se passe rien

tree /etc/systemd/system

Code : Tout sélectionner

/etc/systemd/system
├── getty.target.wants
│   └── getty@tty1.service -> /usr/lib/systemd/system/getty@.service
└── multi-user.target.wants
    └── dhcpcd.service -> /usr/lib/systemd/system/dhcpcd.service

2 directories, 2 files
netstat -lpnput

Code : Tout sélectionner

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
udp        0      0 0.0.0.0:68              0.0.0.0:*                           540/dhcpcd    
netstat --numeric-ports -n -p --tcp --udp

Code : Tout sélectionner

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
nmap -r -p- -Su -sS <mon_ip>

Code : Tout sélectionner

PORT   STATE         SERVICE
68/udp open|filtered dhcpc

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 20.31 seconds
           Raw packets sent: 131071 (4.720MB) | Rcvd: 262140 (11.013MB)

Personnelement je ne comprend pas comment tout cela est arrivé et comment faire pour remonter l'origine du lancement de tout ces services????

Répondre