Discussion :

[hermellin]

Bonjour,

Par hasard j'ai jeté un oeil sur la msgq Qsysopr et ai vu ceci :

ID message . . . . . . : TCP2617
Date d'envoi . . . . . : 09/04/11 Heure d'envoi . . . . : 18:15:44
Message . . . . : TCP/IP connection to remote system 64.95.64.197 closed,
reason code 2.
Cause . . . . . : The TCP/IP connection to remote system 64.95.64.197 has
been closed. The connection was closed for reason code 2. Full connection
details for the closed connection include:
- local IP address is 192.168.1.110
- local port is 5007
- remote IP address is 64.95.64.197
- remote port is 389
Reason codes and their meanings follow:
1 = TCP connection closed due to expiration of 10 minute Close Wait timer.
2 = TCP connection closed due to R2 retry threshold being run.
3 = TCP connection closed due to keepalive timeout.
If TCPCNNMSG(*THRESHOLD) is defined for the Change TCP/IP Attributes (CHGTCPA)
command then there could be additional connections that have closed within
the threshold window. The number of additional TCP connections that have
closed is 0.
Recovery . . . : Informational message.

L'adresse IP m'a surpris car mon reseau, constitué d'une Livebox 192.168.1.1 connectée à un switch et les ordis du reseau sont en 192.168.1.x

j'ai regardé qui était cette adresse ip et vu ceci :

64.95.64.197 IP address location & more:
IP address [?]: 64.95.64.197 [Whois] [Reverse IP]
IP country code: US
IP address country: United States
IP address state: Massachusetts
IP address city: Salem
IP postcode: 01970
IP address latitude: 42.5153
IP address longitude: -70.9075
ISP of this IP [?]: Internap Network Services Corporation
Organization: Internap Network Services Corporation
Host of this IP: [?]: lander.activeaudience.com [Whois] [Trace]
Local time in United States: 2011-04-09 12:39

La variable QSECURITY est a 40.
Dois je fermer les ports 5007 et 5006 (meme alerte dessus) ?
L'Iseries a t il bien reagit ? dois-je renforce la sécurité a un niveau quelconque ?

merci d'avance,
Hermelin

ps : le temps d'ecrire le message et il y avait un nouveau message cette fois sur le port 5008...

[Fab_444]

Bonjour,

Par hasard j'ai jeté un oeil sur la msgq Qsysopr et ai vu ceci :




L'adresse IP m'a surpris car mon reseau, constitué d'une Livebox 192.168.1.1 connectée à un switch et les ordis du reseau sont en 192.168.1.x

Bonsoir,

Je note que l'accès à ton réseau est une Livebox !!!
Tu peux améliorer la sécurité de ton serveur, mais déjà, il faut commencer par assurer la sécurité de ton réseau.
Avant de prendre des médicaments pour te soigner contre un rhume, tu penseras à utiliser une écharpe. De la même façon, il faut d'abord sécuriser le réseau avant de penser à augmenter la sécurité de ton serveur.

j'ai regardé qui était cette adresse ip et vu ceci :

La variable QSECURITY est a 40.
Dois je fermer les ports 5007 et 5006 (meme alerte dessus) ?
L'Iseries a t il bien reagit ? dois-je renforce la sécurité a un niveau quelconque ?

Rien de prouve qu'il s'agit d'une attaque, d'ailleurs rien ne prouve qu'il s'agit d'un trafic entrant, et si c'était un trafic ... sortant ?

Peux-tu aller dans netstat (option 3) et faire un 8 devant l'adresse concernée pour voir de quel job il s'agit.

Le message TCP2617 avec un Return Code 2 signifie que le timeout définie dans le CHGTCPA (retry threshold) a été atteint et par conséquent que cette connexion a été arrêtée. Je me trompe peut être, mais j'aurais tendance à penser qu'il s'agit d'une imprimante réseau que quelqu'un a créé pour un test quelconque, avec une mauvaise adresse IP et que cette dernière envoie de paquets SYN.

S'il s'agit de trafic sortant, le port distant, 389, correspond au service LDAP.

Regarde donc également de ce côté.

Fabrice

[hermellin]

merci pour ta réponse Fabrice,

Tu peux améliorer la sécurité de ton serveur, mais déjà, il faut commencer par assurer la sécurité de ton réseau.

Je suis un particulier, pas une entreprise. La Livebox intègre un firewall sans doute sommaire. A quoi penses-tu comme supplément de sécurité (l'écharpe ) ?

Rien de prouve qu'il s'agit d'une attaque, d'ailleurs rien ne prouve qu'il s'agit d'un trafic entrant, et si c'était un trafic ... sortant ?

Mon reseau est hyper simple : Derriere le switch il y a 3 pc (dont 2 eteints hier), l'Iseries et aucune imprimante.

Cette adresse IP ne peut qu'être entrante. Je regarderai les autres pistes que tu m'as indiquées (Ldap et netsat).

Hermelin

[K2R400]

Je pense qu'un robot tente d'interroger ton LDAP pour récupérer une éventuelle liste de users. Si tu ne fais pas de SSO, tu peux arrêter ton serveur LDAP avec ENDTCPSVR SERVER(*DIRSRV)
Mais le mieux est de configurer ta livebox afin de n'ouvrir que les ports nécessaires.

[m4k-Hurrican]

...Cette adresse IP ne peut qu'être entrante. Je regarderai les autres pistes que tu m'as indiquées (Ldap et netsat)...

Bien sûr que non, çà peut être un service quelconque ayant fait une requête ayant abouti à l'extérieur. Un simple service ntp de mise à jour de l'heure par exemple (les requêtes DNS sortent aussi (port 53), etc...).
Maintenant vu le port, il n'est pas impossible que quelqu'un ait pris la main sur un de tes PC (via un troyen par exemple), puis de là, soit remonté dans l'iSeries.
Dans tous les cas, il faut déjà commencer par sécuriser la chaîne.
- Si ce n'est déjà fait, scanne tes machines entièrement avec un antivirus à jour, et essaie de croiser avec un autre (aucun n'est efficace à 100% loin de là).
- Passe un anti-malware efficace (j'utilise personnellement malwarebytes, mais en version gratuite, il faut lancer les mises à jour manuellement).
- Puis, change tous les mots de passe (çà doit être fait régulièrement de toute façon).
- Vérifie que les parefeux sont activés sur toutes les machines et sur la Livebox.
- Idéalement, investi dans un vrai routeur parefeu. Le hic, c'est la Livebox que l'on ne peut vraiment passer en mode pont. C'est un dilemme car on doit alors choisir entre un modem simple (donc sans les options triple play, téléphone, TV), ou garder la Livebox mais avec un routeur placé dans une DMZ, ce qui peut poser souci si on a des accès VPN.

Dernière petite chose qui me vient à l'esprit, ta LiveBox est paramétrée à quel niveau de sécurité ?

[hermellin]

ca a l'air d'être sortant, il y a ceci dans NETSTAT

Remote Remote Local
Opt Address Port Port Idle Time State
* * as-tran > 000:12:27 Listen
* * as-vrtp > 000:12:28 Listen
64.95.64.197 ldap 5003 000:01:06 SYN-sent

L'objet utilisé par le job est QSYS/QGLDPUBE , utlisiateur QDIRSRV

objet créé sur le system en 2002 appartenant a *IBM

???

[hermellin]

malgré l'arrêt du serveur LDAP par ENDTCPSVR SERVER(*DIRSRV)
le message revient toutes les 10 minutes dans la msgq qsysopr.

Le job et la présence de la ligne (64.95.64.197 ldap 5003 000:01:06 SYN-sent) dans netstat, sont furtifs.

La log de ce job dit ceci :

Affichage de tous les messages
Système : YAEL
Travail : QGLDPUBE Utilisateur: QDIRSRV Numéro . . . : 870793
>> QSYS/CALL QSYS/QGLDPUBE
Error X'00000051' returned by API ldap_simple_bind_s.
Recoverable error while publishing directory object
'systemName=OS400,hostName=S4481754.LADOUCETTE.COM,cn=Computers,dc=S4481
754,dc=LADOUCETTE,dc=COM'.
Tentative de dépasser limite mémoire pour objet QGLDPUBQ.
Error occurred while accessing the directory services publishing queue.
Error X'00000001' occurred while enqueueing a directory publishing
request.

Ladoucette.com est bien domicilié en Floride (IP 64.95.64.197)

Alors sortant ou entrant ? pourquoi c'est récurrent ? Si c'est sortant ou se trouve la config de cette requète LDAP afin que je l'enlève.

j'avais jamais vu dans les messages *sysopr avant.

merci d'avance,
Hermelin

[Fab_444]

ca a l'air d'être sortant, il y a ceci dans NETSTAT

Remote Remote Local
Opt Address Port Port Idle Time State
* * as-tran > 000:12:27 Listen
* * as-vrtp > 000:12:28 Listen
64.95.64.197 ldap 5003 000:01:06 SYN-sent

L'objet utilisé par le job est QSYS/QGLDPUBE , utlisiateur QDIRSRV

objet créé sur le system en 2002 appartenant a *IBM

???

Ca ressemble en effet, comme je te le disais, à du trafic sortant
Il semble bien qu'il s'agisse d'une demande de ton serveur vers l'extérieur. C'est un peu comme si ton serveur tentait une connexion vers un serveur LDAP distant.

Définition du "Syn-sent" : Waiting for a matching connection request after having sent a connection request.
Clairement, la requête envoyée par ton système plante lorsque le time-out est atteint après une trop longue attente.

malgré l'arrêt du serveur LDAP par ENDTCPSVR SERVER(*DIRSRV)
le message revient toutes les 10 minutes dans la msgq qsysopr.

Le job et la présence de la ligne (64.95.64.197 ldap 5003 000:01:06 SYN-sent) dans netstat, sont furtifs.

La log de ce job dit ceci :



Ladoucette.com est bien domicilié en Floride (IP 64.95.64.197)

Alors sortant ou entrant ? pourquoi c'est récurrent ? Si c'est sortant ou se trouve la config de cette requète LDAP afin que je l'enlève.

j'avais jamais vu dans les messages *sysopr avant.

merci d'avance,
Hermelin

Ladoucette est dans le Massachusetts et pas en Floride, mais ça ne change rien sur le fond

Tu dois avoir le service LDAP configuré sur ton serveur ou bien un Lotus Domino qui essaye de se connecter vers cette adresse IP.

Ton système est-il un système de "seconde main" dont tu aurais fait l'acquisition et que tu aurais utilisé sans reformatage ?
Si oui, il se peut qu'il y traîne des anomalies de ce genre.

Fabrice

[Fab_444]

Affichage de tous les messages
Système : YAEL
Travail : QGLDPUBE Utilisateur: QDIRSRV Numéro . . . : 870793
>> QSYS/CALL QSYS/QGLDPUBE
Error X'00000051' returned by API ldap_simple_bind_s.
Recoverable error while publishing directory object
'systemName=OS400,hostName=S4481754.LADOUCETTE.COM,cn=Computers,dc=S4481
754,dc=LADOUCETTE,dc=COM'.
Tentative de dépasser limite mémoire pour objet QGLDPUBQ.
Error occurred while accessing the directory services publishing queue.
Error X'00000001' occurred while enqueueing a directory publishing
request.

Le message est pourtant clair, cela provient de la configuration du serveur LDAP de ta machine, on y retrouve le n° de série d'un serveur (4481754) et l'on voit bien que le type de serveur est OS400.
Il y a une configuration qui traine sur ton serveur.
Il y a des syn-sent car tu n'arrives pas à atteindre le serveur indiqué dans la configuration, en l'occurence S4481754.LADOUCETTE.COM

Fabrice

[hermellin]

Ton système est-il un système de "seconde main" dont tu aurais fait l'acquisition et que tu aurais utilisé sans reformatage ?
Si oui, il se peut qu'il y traîne des anomalies de ce genre.

Fabrice

oui, tout a fait

j'avais fait du nettoyage : lib, outq, jobq, profile.... etc. Tout ce que je maitrise un peu plus quoi. Mais le LDAP je connaissais pas et ayant connecté cet Iseries au web voici 1 mois, c'est sans doute alors que ces messages sont apparus.

Bon c'est donc pas trop grave (pas d'attaque). Reste a trouver ou ces requêtes sont configurées (Apache ??)

merci,

hermelin

[hermellin]

Dernière petite chose qui me vient à l'esprit, ta LiveBox est paramétrée à quel niveau de sécurité ?

Merci pour tes conseils, la sécurité Livebox est à "Normale"

Sécurité normale
Politique entrante: Rejeter.
Les paramètres d'administration distante se substitueront aux règles de sécurité entrante.
Politique sortante: Accepter.

[hermellin]

Pour ceux qui liront ceci car ont le meme probleme.

Pour invalider ou changer l'ancienne configuration d'annuaire en V5R2M0 il faut utiliser Iseries Navigator et aller dans Reseaux, Servers, Tcp/Ip puis afficher les propriétés du service "Annuaire"

Et là effectivement se trouvent les infos que les jobs GLDPUBE utilisent...

[mlacanada]

Merci pour ta réponse mais je ne comprend pas pourquoi tes requêtes continuaient à sortir lorsque le serveur *DIRSRV était arrêté...

Bonne journée

[hermellin]

Merci pour ta réponse mais je ne comprend pas pourquoi tes requêtes continuaient à sortir lorsque le serveur *DIRSRV était arrêté...

Bonne journée

Il semble que ce fut un probleme sur les V5R1 (et donc V5r2 sans les PTF adéquates) comme le constatait cette personne en 2002 :

http://archive.midrange.com/midrange.../msg00343.html