Page 2 sur 2
Re: [backdoor!] mon archlinux est une passoire
Publié : ven. 07 nov. 2014, 08:25
par oktoberfest
bobo a écrit :— C'est louche que la plupart de tes services aient des dates genre « 2 sept. 04:10 », que faisais-tu le 2 septembre à 4h10 ?
On peut déjà regarder si il y a des traces dans le journal :
Re: [backdoor!] mon archlinux est une passoire
Publié : sam. 08 nov. 2014, 16:49
par rasta
Le 2septembre à 4h10 il n'y absolue aucun log de systemd. Systemd indique qu'il c'est arrété à 2h23 le 2 septembre sur un shutdown (probablement mon S2disk) et qu'il a reboot à 18:41:35 le même jour:
Code : Tout sélectionner
sept. 02 02:23:42 rop systemd[1]: Stopping LVM2 metadata daemon..
sept. 02 02:23:42 rop systemd[1]: Stopped LVM2 metadata daemon.
sept. 02 02:23:42 rop mkinitcpio[429]: ==> Build complete.
sept. 02 02:23:42 rop systemd[1]: Started Generate shutdown-ramfs.
sept. 02 02:23:42 rop systemd[1]: Starting Shutdown.
sept. 02 02:23:42 rop systemd[1]: Reached target Shutdown.
sept. 02 02:23:42 rop systemd[1]: Starting Final Step.
sept. 02 02:23:42 rop systemd[1]: Reached target Final Step.
sept. 02 02:23:42 rop systemd[1]: Starting Power-Off...
sept. 02 02:23:42 rop systemd[1]: Shutting down.
sept. 02 02:23:42 rop systemd-shutdown[1]: Sending SIGTERM to remaining processes...
sept. 02 02:23:42 rop systemd-journal[129]: Journal stopped
-- Reboot --
sept. 02 18:41:35 rop systemd-journal[129]: Runtime journal is using 8.0M (max allowed 150.6M, trying to leave 225.9M free of 1.4G available → current limit 150.6M).
sept. 02 18:41:35 rop kernel: Initializing cgroup subsys cpuset
sept. 02 18:41:35 rop kernel: Initializing cgroup subsys cpu
sept. 02 18:41:35 rop kernel: Initializing cgroup subsys cpuacct
sept. 02 18:41:35 rop kernel: Linux version 3.16.1-1-ARCH (nobody@var-lib-archbuild-testing-x86_64-tobias) (gcc version 4.9.1 (GCC) ) #1 SMP PREEMPT Thu Aug 14 07:40:19 CEST 2014
sept. 02 18:41:35 rop kernel: Command line: BOOT_IMAGE=../vmlinuz-linux root=/dev/sda3 rw vga=773 initrd=../initramfs-linux.img
Après avoir désactivé les services telnet, login, rsh, ftpd, kerberos j'ai posté le scan de nmap en scannant tout les ports tcp de ma machine et il m'indiquait ceci:
Code : Tout sélectionner
#nmap -p- -A -T4 192.168.0.162
...
PORT STATE SERVICE VERSION
5355 open unknow
19532 open tcpwrapped
...
par la suite un petit travail avec la commande nestat m'indique ceci:
Code : Tout sélectionner
#netstat -lpnput
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 379/systemd-resolve
tcp6 0 0 :::5355 :::* LISTEN 379/systemd-resolve
tcp6 0 0 :::19532 :::* LISTEN 1/init
udp 0 0 0.0.0.0:68 0.0.0.0:* 2936/dhcpcd
udp 0 0 0.0.0.0:518 0.0.0.0:* 1/init
udp 0 0 0.0.0.0:55829 0.0.0.0:* 285/systemd-timesyn
udp 0 0 0.0.0.0:5355 0.0.0.0:* 379/systemd-resolve
udp6 0 0 :::5355 :::* 379/systemd-resolve
on voit que les procesus init, systemd-resolve et systemd-timesyn sont lancé sur le réseau. Ceci est-il normal???
Pour systemd-resolve et systemd-timesyn je ne sais pas, mais pour le procesus init je pense que ce n'est pas normal!!!!
Re: [backdoor!] mon archlinux est une passoire
Publié : sam. 08 nov. 2014, 22:54
par benjarobin
Si c'est normal que l'init écoute sur des ports car ton PC est configuré pour le faire...
Pour rappel c'est ce que font les fichiers /etc/systemd/system/*.socket
Après comment est arrivé cette configuration dur ton PC, tu es le seul à le savoir !
Re: [backdoor!] mon archlinux est une passoire
Publié : mar. 11 nov. 2014, 16:05
par rasta
Ok mai comment puis-je à ce niveau fermer tout ces ports?
désactiver les services init, systemd-resolve et system-times??
peut-on me guider car je pense pas que l'on puisse désactiver L'init vue que c'est un processus nécessaire au lancement du system?
Comment puis je faire?
Re: [backdoor!] mon archlinux est une passoire
Publié : mar. 11 nov. 2014, 16:26
par benjarobin
Redonne la sortie de :
Cette sortie ne doit contenir que des services que tu as besoin !
On t'a déjà indiqué qu'il fallait en désactiver un certains nombres... Il suffit de le faire.
Re: [backdoor!] mon archlinux est une passoire
Publié : mar. 11 nov. 2014, 17:42
par rasta
Voicie ma sortie de 'tree /etc/systemd/system'
Code : Tout sélectionner
/etc/systemd/system
├── default.target.wants
│ ├── systemd-readahead-collect.service -> /usr/lib/systemd/system/systemd-readahead-collect.service
│ └── systemd-readahead-replay.service -> /usr/lib/systemd/system/systemd-readahead-replay.service
├── getty.target.wants
│ └── getty@tty1.service -> /usr/lib/systemd/system/getty@.service
├── multi-user.target.wants
│ ├── dhcpcd.service -> /usr/lib/systemd/system/dhcpcd.service
│ ├── fstrim.timer -> /usr/lib/systemd/system/fstrim.timer
│ ├── ip6tables.service -> /usr/lib/systemd/system/ip6tables.service
│ ├── iptables.service -> /usr/lib/systemd/system/iptables.service
│ ├── mdadm.service -> /usr/lib/systemd/system/mdadm.service
│ ├── netctl.service -> /usr/lib/systemd/system/netctl.service
│ ├── nscd.service -> /usr/lib/systemd/system/nscd.service
│ ├── remote-fs.target -> ../../../../usr/lib/systemd/system/remote-fs.target
│ ├── systemd-journal-upload.service -> /usr/lib/systemd/system/systemd-journal-upload.service
│ ├── systemd-networkd.service -> /usr/lib/systemd/system/systemd-networkd.service
│ └── systemd-resolved.service -> /usr/lib/systemd/system/systemd-resolved.service
├── sleep.target.wants
│ └── netctl-sleep.service -> /usr/lib/systemd/system/netctl-sleep.service
├── sockets.target.wants
│ ├── systemd-journal-remote.socket -> /usr/lib/systemd/system/systemd-journal-remote.socket
│ ├── talk.socket -> /usr/lib/systemd/system/talk.socket
│ └── uuidd.socket -> /usr/lib/systemd/system/uuidd.socket
├── sysinit.target.wants
│ ├── blk-availability.service -> /usr/lib/systemd/system/blk-availability.service
│ ├── dm-event.service -> /usr/lib/systemd/system/dm-event.service
│ ├── lvm2-lvmetad.service -> /usr/lib/systemd/system/lvm2-lvmetad.service
│ ├── lvm2-monitor.service -> /usr/lib/systemd/system/lvm2-monitor.service
│ └── systemd-timesyncd.service -> /usr/lib/systemd/system/systemd-timesyncd.service
└── system-update.target.wants
└── systemd-readahead-drop.service -> /usr/lib/systemd/system/systemd-readahead-drop.service
7 directories, 24 files
A part mon dhcpcd, je n'ai besoin de rien d'autre. Je fais juste un peut de dev, du virtualbox et du web.
Qu'elles services puis-je désactiver au maximum??
De plus, un firewall (genre iptable) sur une machine utilisateur banal est-il vraiment nécéssaire si l'on maitrise les services qui son lancé sur le réseau ???
Iptable est-il installé par défaut sous archlinux? Car le service est lancé et je n'ai jamais procéder à son installation!!
Comment peut-on lister tout les paquets venant d'AUR et qui sont installé dans le système?
Merci d'avance de vos réponse et votre aide qui continue.
Re: [backdoor!] mon archlinux est une passoire
Publié : mar. 11 nov. 2014, 18:42
par benjarobin
Par défaut rien n'est installé ! Tu l'as forcément installé toi même !
pacman -Qm
ou yaourt -Qma
pour avoir les paquets de AUR
Les services readahead
sont optionnels, tu as surement une bonne raison pour les avoir activés...
Si tu as un SSD garde fstrim.timer
Si tu n'as pas configuré le par feu cela ne sert à rien de lancer les services iptables
Même si tu as un RAID logiciel tu dois supprimer le service mdadm
, il est lancé tout seul via udev
Les services netctl
et netctl-sleep
sont inutiles si tu utilises déjà dhcpcd
Le service nscd
est un système de cache, tu peux sans aucun souci l'enlever
Les services systemd-journal-upload
et systemd-journal-remote
sont très certainement inutilisés...
Les services systemd-networkd
et systemd-resolved
sont inutiles si tu utilises déjà dhcpcd
Les services lvm2
, dm-event.service
et blk-availability.service
ne sont nécessaire que si utilises LVM...
talk.socket,
permet de lancer le service talk
qui permet apparemment de discuter... Sincèrement je ne pense pas que tu utilises ceci
Le service uuidd
(Daemon for generating UUIDs), idem je ne pense pas que tu en es besoin
Le service systemd-timesyncd.service
permet la synchronisation avec l'heure, idem, c'est optionnel...
Comment es tu arrivé à activer tous ces services ?
Re: [backdoor!] mon archlinux est une passoire
Publié : mer. 12 nov. 2014, 16:28
par rasta
Bonjour,
Et bien Benjarobin tous ces services ce sont lancé sans aucune volonté de ma part. Alors peut être que une configuration automatique lors d'une installation a lancé ces services pour moi mais en aucun cas cela est volontaire.
les paquets provenant de AUR et qui sont installé sur ma machine sont les suivant:
Code : Tout sélectionner
aur/chromium-pepper-flash 1:15.0.0.189-1 ( aur: 1:15.0.0.223-1 )
aur/openoffice 4.1.0-2
aur/package-query 1.4-1
aur/pcalc 2-3
aur/sendmail 8.14.9-1
aur/ttf-ms-fonts 2.0-10
aur/ttf-vista-fonts 1-8
aur/uswsusp-git 0.r501.g668c5f7-5
aur/virtualbox-ext-oracle 4.3.16-1 ( aur: 4.3.18-1 )
aur/yaourt 1.5-1
Et il ne me semble pas que ces paquets sortent de l'ordinaire ???
En suivant tes conseils j'ai réussi a rétablir une machine en apparence saine:
- le minimum de service activer
- un seul service lancé sur ma machine et sur le réseau -> le dhcp
- aucune connexion entrante et sortante quand il ne se passe rien
tree /etc/systemd/system
Code : Tout sélectionner
/etc/systemd/system
├── getty.target.wants
│ └── getty@tty1.service -> /usr/lib/systemd/system/getty@.service
└── multi-user.target.wants
└── dhcpcd.service -> /usr/lib/systemd/system/dhcpcd.service
2 directories, 2 files
netstat -lpnput
Code : Tout sélectionner
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:68 0.0.0.0:* 540/dhcpcd
netstat --numeric-ports -n -p --tcp --udp
Code : Tout sélectionner
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
nmap -r -p- -Su -sS <mon_ip>
Code : Tout sélectionner
PORT STATE SERVICE
68/udp open|filtered dhcpc
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 20.31 seconds
Raw packets sent: 131071 (4.720MB) | Rcvd: 262140 (11.013MB)
Personnelement je ne comprend pas comment tout cela est arrivé et comment faire pour remonter l'origine du lancement de tout ces services????