[Pirate?] Adresse virtuelle cachee sur eth1

[SYL666]

Bonjour,
Je viens de decouvrir une "IP cachee" sur mon Serveur Linux.
Cette IP se trouve sur eth1 et possede sa propre MAC address.

Je m'explique :
Ayant des problemes de conflit d'adresses IP, j'ai change l'adresse IP d'un serveur windows puis debranche toutes les interfaces du reseau 1 par 1 pour decouvrir que cette adresse ce trouve sur eth1 du serveur linux (configuree en 192.168.1.1)

Je suppose donc que c'est une adresse virtuelle, mais les MAC address ne correspondent pas... seule la premiere partie (fabricant) reste identique :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
H:\>arp -a
 
Interface: 192.168.1.3 --- 0x10003
  Internet Address      Physical Address      Type
  192.168.1.1           00-16-36-88-3c-91     dynamic
  192.168.1.2           00-16-36-88-43-e9     dynamic

Contenu de ifcfg-eth1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
[root@sunserv ~]# cat /etc/sysconfig/networking/devices/ifcfg-eth1
DEVICE=eth1
BOOTPROTO=none
HWADDR=00:16:36:88:3C:91
ONBOOT=yes
TYPE=Ethernet
NETMASK=255.255.255.0
IPADDR=192.168.1.1
USERCTL=no
IPV6INIT=no
PEERDNS=yes

Cette adresse est invisible du serveur lui meme, il me faut la pinger depuis un autre PC.
J'essaie sous peu un nmap de cette adresse (il me faut la version Windows de nmap, le seul Linux que je possede est ce serveur)

Je suis tres inquiet car ce serveur contient beaucoup de donnees primordiale.

Auriez vous une idee de ce qui se passe?
Pirate? une erreur humaine?
Comment supprime cette adresse?

Merci!

Cedric

EDIT :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
H:\>nmap 192.168.1.2
 
Starting Nmap 4.20 ( http://insecure.org ) at 2007-07-23 10:05 India Standard Time
Interesting ports on 192.168.1.2:
Not shown: 1696 filtered ports
PORT     STATE  SERVICE
1723/tcp closed pptp
MAC Address: 00:16:36:88:43:E9 (Quanta Computer)
 
Nmap finished: 1 IP address (1 host up) scanned in 25.125 seconds

--> PPTP est du Point-to-point tunneling protocol, utilise pour le VPN.... encore plus inquietant
J'ai interdit l'acces a cette adresse dans toutes les directions par l'intermediare d'iptables.

[SnakemaN]

En effet c'est un peu bizarre au premier abord...

Tu as quoi comme serveur sur cette machine ?

mail ?
fichier ?
web ?
...

ca pourrais etre une passerelle, non , de plus 192.168.x.x c'est du local non ?
ca pourrais etre un pot de miel, non ? pas de reseau virtuel ?
(edit)
Pöur rire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
julien@julien-desktop:~$ arp -a
? (192.168.1.98) at 00:0F:1F:60:6B:46 [ether] on eth0
? (192.168.1.1) at 00:05:5D:75:0F:A3 [ether] on eth0
? (192.168.1.45) at 00:19:21:4B:CE:81 [ether] on eth0
? (192.168.1.109) at 00:30:05:00:6E:EB [ether] on eth0
? (192.168.1.7) at 00:0D:61:35:35:FF [ether] on eth0

j'ai du soucis a me faire mais j'ai un tor sur mon pc

[SYL666]

Oui, c'est tres etrange....

C'est un serveur Intranet. il sert un peu a tout, mais n'est pas sense avoir de contact vers l'exterieur

Le serveur a quelques services, voici une liste quasi exhaustive :

• SMB (c'est un Primary Domain Controler) via Samba
• passerelle Internet
• Time Server (meme pas reconnu par nmap, je suppose qu'il y a un soucis avec ce service)
• DHCPD
• SSHD
• FTP
• VNC (pour l'administration du serveur)
• Kerberos-adm (je ne savais meme pas, nmap me l'a appris, c'est peut etre via SMB.... ou pas!)

Nous ne sommes pas sense avoir de reseau virtuel

Plus etrange : quand j'ai interdit l'adresse 192.168.1.2 au niveau d'iptables, c'est la 192.168.1.3 qui a ete dupliquee!
.... je crois vraiment qu'un pirate a mis la main dessus!

Je suis en ce moment a la recherche d'une reponse a "pourquoi est ce que ce $#@$ de service Kerberos fonctionne t il?!"

[SnakemaN]

astuce :
gui pour Samba (juste une interface de configuration, pas besoin de le lancer pour lancer samba)
gsambad

gui pour Iptables (juste une interface de configuration, pas besoin de le lancer pour lancer le firewall)
FireStarter
de la doc : http://doc.ubuntu-fr.org/firestarter

Bon j'ai fait ce petit test en bloquant les adresses dupliquée :
Suivant le rapport de iptables, dans mon cas ça serait pour :
192.168.1.1 -> UDP / DHCP
192.168.1.109 -> UDP /samba

les autres sont bloquées.

Mais kerberos (Cerbère) c'est pas le protocole d'identification ? (utilisé par samba au passage )

[Mark Havel]

Ce n'est pas un peu contradictoire, une machine supposée "ne pas avoir de contact avec l'extérieur" tout en servant quand même de passerelle internet ?

Sinon, que donne un lspci (éventuellement avec -v ou -vv) ? Cela peut permettre de voir une autre interface réseau qui serait configurée et activée "accidentellement" et il me semble que cela révèle en plus l'adresse Mac selon le degré de verbosité.

[SYL666]

Citation:

Envoyé par SnakemaN

Bon j'ai fait ce petit test en bloquant les adresses dupliquée :
Suivant le rapport de iptables, dans mon cas ça serait pour :
192.168.1.1 -> UDP / DHCP
192.168.1.109 -> UDP /samba

les autres sont bloquées.

Que veux tu dire?

Je ne fait pas confiance aux GUI, je prefere mettre la main dans les engrenages... un puriste quoi :p.... bon, ceci dit, ca ne m'empeche pas de pas tout comprendre a ce qui ce passe actuellement

Kerberos peut, ou peut ne pas, etre utilise par SAMBA. Dans mon cas, je ne l'utilise pas, mais effectivement, peut etre est il lance par defaut... il me faut verifier.

@Mark Havel : par pas de contact avec l'exterieur, j'entends en fait que mes service n'interessent que le reseau local, pas de connexion venu de l'exterieur.... je te prie de m'excuser pour le malentendu

lspci ne m'a pas donne d'info... ceci dit, voici le detail :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
[root@sunserv network-security]# lspci
00:00.0 RAM memory: nVidia Corporation MCP55 Memory Controller (rev a2)
00:01.0 ISA bridge: nVidia Corporation MCP55 LPC Bridge (rev a3)
00:01.1 SMBus: nVidia Corporation MCP55 SMBus (rev a3)
00:02.0 USB Controller: nVidia Corporation MCP55 USB Controller (rev a1)
00:02.1 USB Controller: nVidia Corporation MCP55 USB Controller (rev a2)
00:04.0 IDE interface: nVidia Corporation MCP55 IDE (rev a1)
00:05.0 IDE interface: nVidia Corporation MCP55 SATA Controller (rev a3)
00:06.0 PCI bridge: nVidia Corporation MCP55 PCI bridge (rev a2)
00:08.0 Ethernet controller: nVidia Corporation MCP55 Ethernet (rev a3)
00:09.0 Ethernet controller: nVidia Corporation MCP55 Ethernet (rev a3)
00:0a.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0b.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0c.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0d.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0e.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0f.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:18.0 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] HyperTransport Technology Configuration
00:18.1 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] Address Map
00:18.2 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] DRAM Controller
00:18.3 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] Miscellaneous Control
01:05.0 VGA compatible controller: ASPEED Technology, Inc. AST2000
05:00.0 PCI bridge: Broadcom: Unknown device 0103 (rev b5)
06:04.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5715 Gigabit Ethernet (rev a3)
06:04.1 Ethernet controller: Broadcom Corporation NetXtreme BCM5715 Gigabit Ethernet (rev a3)

le mode very verbose ne donne pas de MAC, en tout cas pour ce qui est de mes 4 cartes Ethernet (06:04.0 et 06:04.1, 00:08.0 et 00:09.0). Aucune d'entre elles n'est coupable. les 2 cartes NVidia sont desactivees.

05:00.0 PCI bridge: Broadcom: Unknown device 0103 (rev b5) : ca, par contre, je ne sais pas ce que c'est... Linux non plus d'ailleurs

Sinon, il me semble qu'il y ait maintenant des coupures reseau totales avec le serveur.... pouvez vous vraiment me confirmer qu'un pirate ne joue pas avec ma machine zombifiee? ou pire, le reseau complet? (une bonne dizaine de machines).
Decouvrir une adresse cache qui semble provenir de eth1 qui a un port utilise pour du VPN, ca laisse songeur quand meme, non?

Merci pour vos reponses!

[Oega]

salut

J'ai eu le même souci au boulot avec le poste d'un utilisateur.
il y a juste une carte réseau integré à la carte mère et windows/linux en voyait systématiquement 2....
j'ai remis le bios par défaut etc mais il n'y avait rien à faire

la carte réseau en question était une broadcom et chez toi apparement il trouve un "device" broadcom inconnu

Je pencherai pour un souci matériel au niveau des cartes broadcom mais j'espère pour toi que ce n'est pas ça et si tu trouves la soluce, je suis preneur.

en démarrant avec un livecd, tu retrouves cette même config bizarre?

[Mark Havel]

Le Broadcom unknown device, c'est peut-être juste la puce sur laquelle sont branchées les deux cartes réseaux.
Je suis désolé pour le lspci, je me suis rendu compte un peu plus tard que cela ne donnait pas l'adresse mac.

[granquet]

alors, pourrait-on avoir le resultat de (install les trucs qu'il te manque):
ifconfig -a
lsmod
lshw -short
uname -a
iptables-save
chkrootkit (juste le "verdict" final)

avec tout ces elements, on devrais etre capable d'en dire plus sur la nature de ton probléme

[SYL666]

et hop, c'est parti! quelques installs plus tard :
ifconfig :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
[root@sunserv ~]# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:16:36:88:3C:90
          inet addr:192.100.0.1  Bcast:192.100.0.255  Mask:255.255.255.0
          inet6 addr: fe80::216:36ff:fe88:3c90/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1063184 errors:0 dropped:0 overruns:0 frame:15088
          TX packets:721156 errors:5 dropped:0 overruns:0 carrier:0
          collisions:17206 txqueuelen:1000
          RX bytes:732947717 (698.9 MiB)  TX bytes:112133539 (106.9 MiB)
          Interrupt:217
 
eth1      Link encap:Ethernet  HWaddr 00:16:36:88:3C:91
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::216:36ff:fe88:3c91/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3129268 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3496149 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2143548688 (1.9 GiB)  TX bytes:2962357215 (2.7 GiB)
          Interrupt:225
 
eth2      Link encap:Ethernet  HWaddr 00:16:36:88:3C:93
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:177 Base address:0xe000
 
eth3      Link encap:Ethernet  HWaddr 00:16:36:88:3C:92
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:185 Base address:0x2000
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:263192 errors:0 dropped:0 overruns:0 frame:0
          TX packets:263192 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:31720527 (30.2 MiB)  TX bytes:31720527 (30.2 MiB)
 
sit0      Link encap:IPv6-in-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

--> heu..... sit0, je ne connais pas... ?!?!?! D'ailleurs, pas d'IPv6 chez nous! je vois pas ce que ca fait la!

lsmod :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
[root@sunserv ~]# lsmod
Module                  Size  Used by
smbfs                  74825  0
ipt_state               3265  0
iptable_filter          4417  1
ipt_MASQUERADE          5697  1
iptable_nat            30437  2 ipt_MASQUERADE
ip_conntrack           53657  3 ipt_state,ipt_MASQUERADE,iptable_nat
iptable_mangle          4289  0
ip_tables              21569  5 ipt_state,iptable_filter,ipt_MASQUERADE,iptable_nat,iptable_mangle
vfat                   16577  0
fat                    49633  1 vfat
usb_storage            70921  0
parport_pc             29185  0
lp                     15089  0
parport                43981  2 parport_pc,lp
autofs4                24009  0
sunrpc                175545  1
ds                     21449  0
yenta_socket           22977  0
pcmcia_core            69329  2 ds,yenta_socket
dm_mirror              32465  0
dm_mod                 68097  1 dm_mirror
button                  9057  0
battery                11209  0
ac                      6729  0
md5                     5696  1
ipv6                  282913  18
joydev                 11841  0
ohci_hcd               24273  0
ehci_hcd               33605  0
forcedeth              26049  0
tg3                   109125  0
ext3                  137809  4
jbd                    69105  1 ext3
raid1                  19137  2
sata_nv                12357  8
libata                 78473  1 sata_nv
sd_mod                 19393  10
scsi_mod              141457  3 usb_storage,libata,sd_mod

iptables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
[root@sunserv ~]# iptables-save
# Generated by iptables-save v1.2.11 on Tue Jul 24 17:06:18 2007
*filter
:INPUT ACCEPT [363798:297837130]
:FORWARD ACCEPT [633200:233073935]
:OUTPUT ACCEPT [262551:162498543]
-A INPUT -s 192.168.1.2 -j DROP
-A INPUT -d 192.168.1.2 -j DROP
-A FORWARD -s 192.168.1.2 -j DROP
-A FORWARD -d 192.168.1.2 -j DROP
-A OUTPUT -s 192.168.1.2 -j DROP
-A OUTPUT -d 192.168.1.2 -j DROP
COMMIT
# Completed on Tue Jul 24 17:06:18 2007
# Generated by iptables-save v1.2.11 on Tue Jul 24 17:06:18 2007
*nat
:PREROUTING ACCEPT [32105:2088778]
:POSTROUTING ACCEPT [815:82989]
:OUTPUT ACCEPT [993:96863]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Jul 24 17:06:18 2007
# Generated by iptables-save v1.2.11 on Tue Jul 24 17:06:18 2007
*mangle
:PREROUTING ACCEPT [997545:530999626]
:INPUT ACCEPT [363994:297855965]
:FORWARD ACCEPT [633351:233082769]
:OUTPUT ACCEPT [262739:162516952]
:POSTROUTING ACCEPT [896154:395616446]
COMMIT
# Completed on Tue Jul 24 17:06:18 2007

--> l'adresse 192.168.1.2 n'etait plus sensee exister (cf. plus haut) donc je l'ai interdite d'acces au serveur. Elle est neanmoins toujours presente, et disparait soudainement lorsque je debranche eth1 (mais pas eth0). j'ai effectue un meilleur filtrage du firewall, mais, inexpicablement, certains (pas tous) utilisateurs perdaient au bout d'un moment la connexion au serveur... je ne sais pas pourquoi, mais j'ai du renoncer a ces regles plus restricives (DROP par defaut, c'est mieux). ceci dit, je peut les remettre en place.
lshw :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
[root@sunserv rpms]# lshw -short
H/W path    Device     Class      Description
=============================================
                       system     X2100 M2
/0                     bus        S40
/0/0                   memory     64KB BIOS
/0/3                   processor  Dual-Core AMD Opteron(tm) Processor 1210
/0/3/5                 memory     128KB L1 cache
/0/3/6                 memory     2MB L2 cache
/0/1c                  memory     1536MB System Memory
/0/1c/0                memory     DIMM [empty]
/0/1c/1                memory     512MB DIMM Synchronous 667 MHz (1.5 ns)
/0/1c/2                memory     512MB DIMM Synchronous 667 MHz (1.5 ns)
/0/1c/3                memory     512MB DIMM Synchronous 667 MHz (1.5 ns)
/0/4                   memory     RAM memory
/0/1                   bridge     MCP55 LPC Bridge
/0/1.1                 bus        MCP55 SMBus
/0/2                   bus        MCP55 USB Controller
/0/2/1      usb2       bus        OHCI Host Controller
/0/2/1/1               input      USB MULTIMEDIA KEYBOARD
/0/2/1/3               bus        USB hub
/0/2/1/3/4             input      Sun USB Keyboard
/0/2/1/4               input      PS/2+USB Mouse
/0/2.1                 bus        MCP55 USB Controller
/0/2.1/1    usb1       bus        EHCI Host Controller
/0/7                   storage    MCP55 IDE
/0/5        scsi0      storage    MCP55 SATA Controller
/0/5/0      /dev/sda   disk       232GB HITACHI HDS7225S
/0/5/0/1    /dev/sda1  volume     196MB Linux filesystem partition
/0/5/0/2    /dev/sda2  volume     10001MB Linux raid autodetect partition
/0/5/0/3    /dev/sda3  volume     221GB Linux raid autodetect partition
/0/5/0/4    /dev/sda4  volume     1568MB Extended partition
/0/5/0/4/5  /dev/sda5  volume     1568MB Linux swap / Solaris partition
/0/5/1      /dev/sdb   disk       232GB HITACHI HDS7225S
/0/5/1/1    /dev/sdb1  volume     221GB Linux raid autodetect partition
/0/5/1/2    /dev/sdb2  volume     10001MB Linux raid autodetect partition
/0/5/1/3    /dev/sdb3  volume     1568MB Linux swap / Solaris partition
/0/5/1/4    /dev/sdb4  volume     196MB Extended partition
/0/5/1/4/5  /dev/sdb5  volume     196MB Linux filesystem partition
/0/6                   bridge     MCP55 PCI bridge
/0/6/5                 display    AST2000
/0/8        eth2       network    MCP55 Ethernet
/0/9        eth3       network    MCP55 Ethernet
/0/a                   bridge     MCP55 PCI Express bridge
/0/b                   bridge     MCP55 PCI Express bridge
/0/c                   bridge     MCP55 PCI Express bridge
/0/d                   bridge     MCP55 PCI Express bridge
/0/d/0                 bridge     EPB PCI-Express to PCI-X Bridge
/0/d/0/4    eth0       network    NetXtreme BCM5715 Gigabit Ethernet
/0/d/0/4.1  eth1       network    NetXtreme BCM5715 Gigabit Ethernet
/0/e                   bridge     MCP55 PCI Express bridge
/0/f                   bridge     MCP55 PCI Express bridge
/0/100                 bridge     K8 [Athlon64/Opteron] HyperTransport Technology Configuration
/0/101                 bridge     K8 [Athlon64/Opteron] Address Map
/0/102                 bridge     K8 [Athlon64/Opteron] DRAM Controller
/0/103                 bridge     K8 [Athlon64/Opteron] Miscellaneous Control

uname :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
[root@sunserv chkrootkit-0.47]# uname -a
Linux sunserv.csh-delhi 2.6.9-42.ELsmp #1 SMP Tue Aug 15 10:35:26 BST 2006 x86_64 x86_64 x86_64 GNU/Linux

chkrootkit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
[root@sunserv chkrootkit-0.47]# ./chkrootkit
[...]
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         3497 tty3   /sbin/mingetty tty3
! root         3500 tty4   /sbin/mingetty tty4
! root         3501 tty5   /sbin/mingetty tty5
! root         3503 tty6   /sbin/mingetty tty6
! root        27022 pts/16 -bash
! root        27576 pts/16 screen -r
chkutmp: nothing deleted

--> heu... j'utilisais a ce moment 2 sessions ssh, dont 1 screen, plus un login sur le server lui meme... mais tout ces tty, je je sais pas d'ou il viennent!!!
Edit : j'ai tue les process mingetty. le reste de chkrootkit annoncait des trucs comme "not infected"
Edit2 :
un petit who, juste pour le fun :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
[root@sunserv chkrootkit-0.47]# who -a
[...]
LOGIN      tty1         Jul 24 18:34               986 id=1
[...]
LOGIN      tty3         Jul 24 18:17             29730 id=3
LOGIN      tty4         Jul 24 18:17             29857 id=4
LOGIN      tty6         Jul 24 18:17             30117 id=6
LOGIN      tty2         Jul 24 18:34              1120 id=2
LOGIN      tty3         Jul 24 18:34              1254 id=3
LOGIN      tty4         Jul 24 18:34              1381 id=4
LOGIN      tty5         Jul 24 18:34              1514 id=5
[...]

--> ils reviennent quand je les tue les petits malins! ... c'est grave docteur?
.... Bon, je suppose que c'est pas bon signe....
Que faire d'autre maintenant?
Merci!

[Mark Havel]

Le truc un peu étrange c'est que toutes tes cartes réseau ont des adresses MAC qui se suivent. Et sinon, IPv6 est activé et chargé en tant que module dans le noyau, ça se voit très bien un peu partout.

[SYL666]

Citation:

Envoyé par Mark Havel

Le truc un peu étrange c'est que toutes tes cartes réseau ont des adresses MAC qui se suivent.

oui, c'est comme ca depuis le debut, j'ai ete surpris aussi. bon, c'est etrange car 2 sont NVidia, et 2 sont Broadcom Corporation. Mais toutes 4 sont built-in de chez SUN, directement integre dans la machine, donc je suppose que c'est normal.
... en tout cas je trouve tout le reste plus etrange, vu d'ici en tout cas.

Citation:

Envoyé par Mark Havel

Et sinon, IPv6 est activé et chargé en tant que module dans le noyau, ça se voit très bien un peu partout.

oui, mais quelle est cette interface virtuelle sit0?

[granquet]

Citation:

Envoyé par SYL666

oui, mais quelle est cette interface virtuelle sit0?

sit0, c'est juste une interface Ipv6 => Ipv4 (encapsulation de Ipv6 dans Ipv4)

au vu de ce que tu nous dis, j'ai vraiment pas l'impression que cette carte 00-16-36-88-43-e9 soit sur la machine que tu nous décris.
t'es vraiment SUR que c'est pas une autre machine?
genre quand tu débranche le serveur (a la pause déjeuner par exemple), tu peux toujours ping 192.168.1.2? (en étant sur le même réseau)

[Katyucha]

T'es l'admin système ? Tant mieux, c'est toi le chef
Dans le doute, tu coupes

Si ca rale, tu dis que c'est pas documenté.


Kat, dictateur des serveurs, emmerdeur suprême des utilisateurs

[SYL666]

Au sujet de cette adresse 192.168.1.2, voila ce dont je suis certain :

1. En la pingant depuis une adresse du meme reseau, ca pong, avec un ttl de 64, c'est la dire meme ttl que mon serveur Linux.
2. Si je debranche eth1 (192.168.1.1, donc meme reseau), ca ne pong plus, ca timeoute.
3. Si je debranche eth0 (sortie de passerelle et donc reseau different) ca continue de ponger.
4. Quand je lance ethereal sur eth1, il detecte le ping.
5. Quand je ping depuis le serveur, l'adresse n'est pas atteignable.
6. Quand je ping sur un reseau limite (seulement eth1 et ma machine), ca pong
7. Quand je debranche ma machine du reseau, ca ne pong plus.
8. Nmap sur l'adresse me dit que tous les ports sont filtres (auparanvant, 1723/tcp etait ferme et les autres filtres, cf. en haut)

voila, le resultat de mes tests.... les 6 et 7 indiquent clairement que seul eth1 contient cette adresse.
La nuit derniere, j'ai lance ethereal sur la sortie de passerelle pour voir ce qui se passait mais aujourd'hui j'ai pas eu le temps de m'en occuper.

Merci

[Desboys]

Bonjour,
si ton serveur contient des données critiques, et que tu as des doutes sur sa configuration actuelle, n'hésites pas à modifier la topologie du réseau.
Il vaut mieux, je pense, que ta passerelle internet ne soit pas ce serveur. Ceci s'appuyant par le côté "stratégique" du SI de l'entreprise, et les risques encourus en cas de piratage.
Donc, si tu en as le budget, une passerelle internet indépendante, blindée comme il faut, serait à envisager.

Mingetty est le programme des terminaux, accessible par Ctrl+Alt+F[1-6].
Si tu en as trop, va voir dans /etc/inittab , mais prudence, c'est le fichier lu par init, et vaut mieux ne pas faire de boulette.

Je n'explique cependant pas pourquoi tu as une adresse qui apparaît dans ton réseau.

S. Desbois

[SYL666]

Citation:

Envoyé par Desboys

Mingetty est le programme des terminaux, accessible par Ctrl+Alt+F[1-6].

Oui, effectivement... je deviens tellement parano que j'en fais quelques conneries... Cette adresse me rend dingue, et les erreurs du reseaux n'arrange rien.
quelle explication peut il y avoir!?!
Je me demande meme si cela peut etre une machine virtuelle cache qui tourne sous Linux. Mais comment une carte reseau peut elle avoir 2 MAC diferentes? meme si une machine cache tourne, la MAC se trouve sur la carte elle meme, non?

Ceci dit tu as raison, separer le routeur du serveur, c'est mieux....
Je m'en vais me renseigner et installer un 'ti routeur Linux. j'ai le matos pour ca.

[granquet]

j'ai pas eu le temps de le lire en entier: http://handlers.sans.org/tliston/Thw...on_Skoudis.pdf

c'est un papier intéressant qui pourrait t'en apprendre sur les Virtual Machine et leur détection

en dehors de la virtual machine, y'aurais bien un moyen en recodant le driver de la carte réseau
mais ça demande tellement de travail que j'y crois pas trop

essaye de changer de kernel pour voir.

[SnakemaN]

Citation:

Envoyé par Dark_Ebola

....
essaye de changer de kernel pour voir.

+ 1
d'ailleurs le dernier stable en date, le 2.6.22.1 sortit le 2007-07-10 est tres prometteur il parait de nouveau drivers encodé des petites choses sur le wifi et le réseau ont été améliorés, pas encore eu le temps de tester personnellement.
http://www.kernel.org/

[SYL666]

Interessant papier, j'en conviens. Neanmoins il est plutot axe "suis-je dans un monde virtuel" plutot que "un monde virtuel tourne t il sur ma becane".

...bon, je vais voir si je peux upgrader mon kernel... mais ca sera pas avant ce week end.
En attendant, je passe mon temps a eplucher les donnees d'ehtereal... mais c'est long et je manque de temps