Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian Scan de mon pc par Google ?

Scan de mon pc par Google ?

9 réponses
Avatar
Micka
Bonsoir,

j'ai remarqué depuis quelques temps une activité réseau assez importante
sur mon PC sous Debian, qui continue même si je ferme le navigateur et
le client de messagerie. Je suis connecté à internet via une freebox en
mode routeur, mais l'ordi est seul sur la freebox.

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impression que
mon PC subit une attaque du genre scan de port... J'ai chercher à voir
d'ou venait ce traffic avec iftop, je reçois pleins de requêtes
provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)...
Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe, et
je ne trouve pas les mots clés pour m'aider à trouver sur le net.

Cordialement,
Mika_Gueret

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1391371685.27966.11.camel@titus
Signaler un problème avec ce contenu

9 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
nicolas.patrois
Le 02/02/2014 21:08:05, Mickaël Guéret a écrit :

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impress ion
que mon PC subit une attaque du genre scan de port... J'ai chercher à  
voir d'ou venait ce traffic avec iftop, je reçois pleins de requà ªtes
provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)...
Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe,
et je ne trouve pas les mots clés pour m'aider à trouver sur le net.



Tu utilises un outil de Gogole, comme google-music ou autre ?
À moins qu’un piratin ne te fasse croire que sa machine vient de
Gogole…

nicolas patrois : pts noir asocial
--
RÉALISME

M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des
humains ? Un cerveau plus gros ?
P : Non... Une carte bleue suffirait...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Micka
j'ai trouvé un truc...

Le dimanche 02 février 2014 à 21:37 +0100, a
écrit :
Tu utilises un outil de Gogole, comme google-music ou autre ?



Pas directement, mais j'ai configuré Evolution pour qu'il se synchronise
avec mon agenda Google. Et il reste un processus après la fermeture de
Evolution : "Evolution-calendar-factory". Ce processus semble à
l'origine du traffic réseau vers google car si je le tue, le traffic
cesse. Ça ne me plaît pas de trop ce truc, surtout que j'ai aussi essayé
de désactiver les calendriers google et que ça continue...

Mika

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
François Boisson
Le Sun, 02 Feb 2014 21:08:05 +0100
Mickaël Guéret a écrit:

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impression que
mon PC subit une attaque du genre scan de port... J'ai chercher à voir
d'ou venait ce traffic avec iftop, je reçois pleins de requêtes



Quel port? As tu regardé ce que c'était via tcpdump ou wireshark?

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Adrien Poupin
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
------enig2IPKUJPVNSDQBJSXTCPGT
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 02/02/2014 21:08, Mickaël Guéret a écrit :
Bonsoir,

j'ai remarqué depuis quelques temps une activité réseau assez importante
sur mon PC sous Debian, qui continue même si je ferme le navigateu r et
le client de messagerie. Je suis connecté à internet via une freebox en
mode routeur, mais l'ordi est seul sur la freebox.

Je ne suis pas un grand pro de la sécurité, mais j'ai l'impre ssion que
mon PC subit une attaque du genre scan de port... J'ai chercher à voir
d'ou venait ce traffic avec iftop, je reçois pleins de requêt es
provenant d'adresses IP de chez Google (genre we-in-x54.1e100.net)...
Est-ce que c'est normal ? Je ne comprends pas trop ce qui se passe, et
je ne trouve pas les mots clés pour m'aider à trouver sur le net.

Cordialement,
Mika_Gueret



Petit retour d'expérience :
Il y a quelques années (2009) j'avais installé une machine sous une
variante de Debian. Comme j'étais chez Free j'avais une IP fixe, et
j'avais configuré mon NAT pour accéder au port 22 depuis l'extà ©rieur...
Un jour j'ai constaté un trafic sortant anormal. J'ai débranchà © tout de
suite le câble réseau pour investigation.
Au bout d'une heure j'avais une bonne idée de ce qui s'était
probablement passé (on n'a toujours que les positifs, mais on ne sai s
pas si l'attaquant est allé plus loin).
Résultat des courses :
1) je n'avais pas restreint les utilisateurs pour SSH ;
2) je n'avais pas installé fail2ban ;
3) il se trouve que j'avais une colocataire qui avait mis comme mot de
passe son username... et elle s'appelait sylvie ^^ ;
4) il y avait un .bash_history (ma coloc' n'utilisait jamais la console)
qui contenait une suite de commande de type wget paquet_windows.zip,
wget paquet_linux.zip, cron, etc. Les logs wtmp n'avaient appremment pas
été modifiés.
5) action apparente : c'était un botnet IRC qui se redémarrait tout seul
avec un cron inscrit sous le nom d'utilisateur de ma colocataire (c'est
donc assez discret car on n'utilise pas souvent les crontabs des
utilisateurs réguliers).

L'attaquant n'avait apparemment pas cherché à dissimuler ses tr aces,
j'en ai même été surpris...

En tous cas, j'ai quand-même réinstallé la machine /from s cratch/ : on
ne sait jamais si c'est une attaque pour en cacher une autre.
Merci quand-même à l'attaquant, car au moins j'utilise maintena nt des
règles de sécurité de base...

Ça n'aidera peut-être pas... Mais ça peut faire avancer un peu le
schmilblick.

--
Adrien.


------enig2IPKUJPVNSDQBJSXTCPGT
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
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=EvOO
-----END PGP SIGNATURE-----

------enig2IPKUJPVNSDQBJSXTCPGT--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Micka
Le lundi 03 février 2014 à 08:00 +0100, François Boisson a écrit :

Quel port?


sur ma machine, pleins, et jamais le même :
49402, 49461, 49504... selon iftop

As tu regardé ce que c'était via tcpdump ou wireshark?



J'ai essayé de regardé les sorties de wireshark, mais ça ne m'aide pas
trop... Je fouille plus en avant ce soir, merci !

Mika




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
honeyshell
--001a11c136ce0e414f04f17c0ffa
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour la team,

Tu n'aurai pas transmission d'ouvert? (en service)

Si tu souhaites facilement tester les services je te propose chkconfig. Je
te colle son utilisation, en espérant que ça t'aide à compre ndre avant de
tout réinstaller :


Comment gérer les services (daemons) facilement

installer :

# apt-get install chkconfig

lister

# chkconfig -l

...

transmission-daemon 0:off 1:off 2:on 3:on 4:on 5:on 6:off

...

arrêter le service de se lancer au démarrage:

# chkconfig transmission-daemon off

# chkconfig -l

transmission-daemon 0:off 1:off 2:off 3:off 4:off 5:off 6:off

Bon courage en ce lundi matin

--001a11c136ce0e414f04f17c0ffa
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr">Bonjour la team, <div><br></div><div>Tu n&#39;aurai p as transmission d&#39;ouvert? (en service)</div><div><br></div><div>Si tu s ouhaites facilement tester les services je te propose chkconfig. Je te coll e son utilisation, en espérant que ça t&#39;aide à comprendr e avant de tout réinstaller : </div>
<div><br></div><div><br></div><div><p dir="ltr" style="font-family:aria l,sans-serif;font-size:13px;line-height:1.15;margin-top:0pt;margin-bottom:0 pt"><span style="vertical-align:baseline;font-size:17px;background-color: rgb(249,249,249);font-family:&#39;Trebuchet MS&#39;;font-weight:bold">Comme nt gérer les services (daemons) facilement</span></p>
<br style="font-family:arial,sans-serif;font-size:13px"><span style="ve rtical-align:baseline;font-size:11px;background-color:rgb(249,249,249);font -family:Ubuntu"></span><p dir="ltr" style="font-family:arial,sans-serif ;font-size:13px;line-height:1.15;margin-top:0pt;margin-bottom:0pt">
<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu">installer :</span></p><p dir="ltr" style ="font-family:arial,sans-serif;font-size:13px;line-height:1.15;margin-top :0pt;margin-bottom:0pt">
<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu"># apt-get install chkconfig</span></p><p d ir="ltr" style="font-family:arial,sans-serif;font-size:13px;line-height :1.15;margin-top:0pt;margin-bottom:0pt">
<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu">lister</span></p><p dir="ltr" style="f ont-family:arial,sans-serif;font-size:13px;line-height:1.15;margin-top:0pt; margin-bottom:0pt">
<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu"># chkconfig -l <br></span></p><p dir ="ltr" style="font-family:arial,sans-serif;font-size:13px;line-height:1 .15;margin-top:0pt;margin-bottom:0pt">
<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu">...<br></span></p><p dir="ltr" style=" font-family:arial,sans-serif;font-size:13px;line-height:1.15;margin-top:0pt ;margin-bottom:0pt">
<span style="vertical-align:baseline;font-size:11px;background-color:rgb( 249,249,249);font-family:Ubuntu">transmission-daemon      Â  0:off  1:off  </span><span style="vertical-align:base line;font-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu;fo nt-weight:bold">2:on   3:on   4:on   5:on</sp an><span style="vertical-align:baseline;font-size:11px;background-color:r gb(249,249,249);font-family:Ubuntu">   6:off</span></p>
<p dir="ltr" style="font-family:arial,sans-serif;font-size:13px;line-he ight:1.15;margin-top:0pt;margin-bottom:0pt"><span style="vertical-align:b aseline;font-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu ">...<br>
</span></p><p dir="ltr" style="font-family:arial,sans-serif;font-size:1 3px;line-height:1.15;margin-top:0pt;margin-bottom:0pt"><span style="verti cal-align:baseline;font-size:11px;background-color:rgb(249,249,249);font-fa mily:Ubuntu">arrêter le service de se lancer au démarrage:</span> </p>
<p dir="ltr" style="font-family:arial,sans-serif;font-size:13px;line-he ight:1.15;margin-top:0pt;margin-bottom:0pt"><span style="vertical-align:b aseline;font-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu "># chkconfig transmission-daemon off</span></p>
<p dir="ltr" style="font-family:arial,sans-serif;font-size:13px;line-he ight:1.15;margin-top:0pt;margin-bottom:0pt"><span style="vertical-align:b aseline;font-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu "># chkconfig -l</span></p>
<p dir="ltr" style="font-family:arial,sans-serif;font-size:13px;line-he ight:1.15;margin-top:0pt;margin-bottom:0pt"><span style="vertical-align:b aseline;font-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu ">transmission-daemon       0:off  1:off   </span><span style="vertical-align:baseline;font-size:11px;background- color:rgb(249,249,249);font-family:Ubuntu;font-weight:bold">2:off  3:o ff  4:off  5:off</span><span style="vertical-align:baseline;fon t-size:11px;background-color:rgb(249,249,249);font-family:Ubuntu">   6:off</span></p>
</div><div><br></div><div>Bon courage en ce lundi matin</div></div>

--001a11c136ce0e414f04f17c0ffa--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAJeHwDaEUSgXjg7jvSj6kUNKFnikR+JyFLVzd9XxFX=
Avatar
andre_debian
On Monday 03 February 2014 09:10:37 honeyshell wrote:
chkconfig -l



J'ai regardé le man mais comprends pas :

Pourquoi toutes ces colonnes et comment se fait-il que les deux
premières soient toutes à "off" ?

Exemple :
x11-common 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
honeyshell
Re,

Les services se lancent dans un ordre précis, ce sont les "niveaux
d'exécution" , les fameux RunLevel:
Pour résumer : Debian définit sept niveaux d'exécution (0-6) .
0 (arrête le système)
1 (simple utilisateur / mode minimal),
2 à 5 (modes multi-utilisateurs), et
6 (redémarre le système).

voir : https://wiki.debian.org/fr/RunLevel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Micka
Le lundi 03 février 2014 à 09:10 +0100, honeyshell a écrit :

Tu n'aurai pas transmission d'ouvert? (en service)


non, transmission ne tourne pas. J'ai "résolu" le problème en killant le
processus "evolution-calendar-factory"

Je vais voir si je trouve une autre solution...

Mika


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/