Scan de mon pc par Google ?

Le
Micka
Bonsoir,

j'ai remarqué depuis quelques temps une activité réseau assez importante
sur mon PC sous Debian, qui continue même si je ferme le navigateur et
le client de messagerie. Je suis connecté à internet via une freebox en
mode routeur, mais l'ordi est seul sur la freebox.

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impression que
mon PC subit une attaque du genre scan de port J'ai chercher à voir
d'ou venait ce traffic avec iftop, je reçois pleins de requêtes
provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)
Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe, et
je ne trouve pas les mots clés pour m'aider à trouver sur le net.

Cordialement,
Mika_Gueret

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1391371685.27966.11.camel@titus
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
nicolas.patrois
Le #25968412
Le 02/02/2014 21:08:05, Mickaël Guéret a écrit :

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impress ion
que mon PC subit une attaque du genre scan de port... J'ai chercher à  
voir d'ou venait ce traffic avec iftop, je reçois pleins de requà ªtes
provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)...
Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe,
et je ne trouve pas les mots clés pour m'aider à trouver sur le net.



Tu utilises un outil de Gogole, comme google-music ou autre ?
À moins qu’un piratin ne te fasse croire que sa machine vient de
Gogole…

nicolas patrois : pts noir asocial
--
RÉALISME

M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des
humains ? Un cerveau plus gros ?
P : Non... Une carte bleue suffirait...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Micka
Le #25968622
j'ai trouvé un truc...

Le dimanche 02 février 2014 à 21:37 +0100, a
écrit :
Tu utilises un outil de Gogole, comme google-music ou autre ?



Pas directement, mais j'ai configuré Evolution pour qu'il se synchronise
avec mon agenda Google. Et il reste un processus après la fermeture de
Evolution : "Evolution-calendar-factory". Ce processus semble à
l'origine du traffic réseau vers google car si je le tue, le traffic
cesse. Ça ne me plaît pas de trop ce truc, surtout que j'ai aussi essayé
de désactiver les calendriers google et que ça continue...

Mika

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
François Boisson
Le #25968612
Le Sun, 02 Feb 2014 21:08:05 +0100
Mickaël Guéret
Je ne suis pas un grand pro de la sécurité, mais j'ai l'impression que
mon PC subit une attaque du genre scan de port... J'ai chercher à voir
d'ou venait ce traffic avec iftop, je reçois pleins de requêtes



Quel port? As tu regardé ce que c'était via tcpdump ou wireshark?

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Adrien Poupin
Le #25968642
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
------enig2IPKUJPVNSDQBJSXTCPGT
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 02/02/2014 21:08, Mickaël Guéret a écrit :
Bonsoir,

j'ai remarqué depuis quelques temps une activité réseau assez importante
sur mon PC sous Debian, qui continue même si je ferme le navigateu r et
le client de messagerie. Je suis connecté à internet via une freebox en
mode routeur, mais l'ordi est seul sur la freebox.

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impre ssion que
mon PC subit une attaque du genre scan de port... J'ai chercher à voir
d'ou venait ce traffic avec iftop, je reçois pleins de requêt es
provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)...
Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe, et
je ne trouve pas les mots clés pour m'aider à trouver sur le net.

Cordialement,
Mika_Gueret



Petit retour d'expérience :
Il y a quelques années (2009) j'avais installé une machine sous une
variante de Debian. Comme j'étais chez Free j'avais une IP fixe, et
j'avais configuré mon NAT pour accéder au port 22 depuis l'extà ©rieur...
Un jour j'ai constaté un trafic sortant anormal. J'ai débranchà © tout de
suite le câble réseau pour investigation.
Au bout d'une heure j'avais une bonne idée de ce qui s'était
probablement passé (on n'a toujours que les positifs, mais on ne sai s
pas si l'attaquant est allé plus loin).
Résultat des courses :
1) je n'avais pas restreint les utilisateurs pour SSH ;
2) je n'avais pas installé fail2ban ;
3) il se trouve que j'avais une colocataire qui avait mis comme mot de
passe son username... et elle s'appelait sylvie ^^ ;
4) il y avait un .bash_history (ma coloc' n'utilisait jamais la console)
qui contenait une suite de commande de type wget paquet_windows.zip,
wget paquet_linux.zip, cron, etc. Les logs wtmp n'avaient appremment pas
été modifiés.
5) action apparente : c'était un botnet IRC qui se redémarrait tout seul
avec un cron inscrit sous le nom d'utilisateur de ma colocataire (c'est
donc assez discret car on n'utilise pas souvent les crontabs des
utilisateurs réguliers).

L'attaquant n'avait apparemment pas cherché à dissimuler ses tr aces,
j'en ai même été surpris...

En tous cas, j'ai quand-même réinstallé la machine /from s cratch/ : on
ne sait jamais si c'est une attaque pour en cacher une autre.
Merci quand-même à l'attaquant, car au moins j'utilise maintena nt des
règles de sécurité de base...

Ça n'aidera peut-être pas... Mais ça peut faire avancer un peu le
schmilblick.

--
Adrien.


------enig2IPKUJPVNSDQBJSXTCPGT
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
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=EvOO
-----END PGP SIGNATURE-----

------enig2IPKUJPVNSDQBJSXTCPGT--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Micka
Le #25968652
Le lundi 03 février 2014 à 08:00 +0100, François Boisson a écrit :

Quel port?


sur ma machine, pleins, et jamais le même :
49402, 49461, 49504... selon iftop

As tu regardé ce que c'était via tcpdump ou wireshark?



J'ai essayé de regardé les sorties de wireshark, mais ça ne m'aide pas
trop... Je fouille plus en avant ce soir, merci !

Mika




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
honeyshell
Le #25968702
--001a11c136ce0e414f04f17c0ffa
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour la team,

Tu n'aurai pas transmission d'ouvert? (en service)

Si tu souhaites facilement tester les services je te propose chkconfig. Je
te colle son utilisation, en espérant que ça t'aide à compre ndre avant de
tout réinstaller :


Comment gérer les services (daemons) facilement

installer :

# apt-get install chkconfig

lister

# chkconfig -l

...

transmission-daemon 0:off 1:off 2:on 3:on 4:on 5:on 6:off

...

arrêter le service de se lancer au démarrage:

# chkconfig transmission-daemon off

# chkconfig -l

transmission-daemon 0:off 1:off 2:off 3:off 4:off 5:off 6:off

Bon courage en ce lundi matin

--001a11c136ce0e414f04f17c0ffa
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu">transmission-daemon      Â  0:off  1:off  </span><span style="vertical-align:base line;font-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu;fo nt-weight:bold">2:on   3:on   4:on   5:on</sp an><span style="vertical-align:baseline;font-size:11px;background-color:r gb(249,249,249);font-family:Ubuntu">   6:off</span></p>
</div><div><br></div><div>Bon courage en ce lundi matin</div></div>

--001a11c136ce0e414f04f17c0ffa--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAJeHwDaEUSgXjg7jvSj6kUNKFnikR+JyFLVzd9XxFX=
andre_debian
Le #25968792
On Monday 03 February 2014 09:10:37 honeyshell wrote:
chkconfig -l



J'ai regardé le man mais comprends pas :

Pourquoi toutes ces colonnes et comment se fait-il que les deux
premières soient toutes à "off" ?

Exemple :
x11-common 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
honeyshell
Le #25968802
Re,

Les services se lancent dans un ordre précis, ce sont les "niveaux
d'exécution" , les fameux RunLevel:
Pour résumer : Debian définit sept niveaux d'exécution (0-6) .
0 (arrête le système)
1 (simple utilisateur / mode minimal),
2 à 5 (modes multi-utilisateurs), et
6 (redémarre le système).

voir : https://wiki.debian.org/fr/RunLevel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Micka
Le #25968952
Le lundi 03 février 2014 à 09:10 +0100, honeyshell a écrit :

Tu n'aurai pas transmission d'ouvert? (en service)


non, transmission ne tourne pas. J'ai "résolu" le problème en killant le
processus "evolution-calendar-factory"

Je vais voir si je trouve une autre solution...

Mika


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme