Discussion :

[SYL666]

Bonjour,
Je viens de decouvrir une "IP cachee" sur mon Serveur Linux.
Cette IP se trouve sur eth1 et possede sa propre MAC address.

Je m'explique :
Ayant des problemes de conflit d'adresses IP, j'ai change l'adresse IP d'un serveur windows puis debranche toutes les interfaces du reseau 1 par 1 pour decouvrir que cette adresse ce trouve sur eth1 du serveur linux (configuree en 192.168.1.1)

Je suppose donc que c'est une adresse virtuelle, mais les MAC address ne correspondent pas... seule la premiere partie (fabricant) reste identique :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
H:\>arp -a
 
Interface: 192.168.1.3 --- 0x10003
  Internet Address      Physical Address      Type
  192.168.1.1           00-16-36-88-3c-91     dynamic
  192.168.1.2           00-16-36-88-43-e9     dynamic

Contenu de ifcfg-eth1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
[root@sunserv ~]# cat /etc/sysconfig/networking/devices/ifcfg-eth1
DEVICE=eth1
BOOTPROTO=none
HWADDR=00:16:36:88:3C:91
ONBOOT=yes
TYPE=Ethernet
NETMASK=255.255.255.0
IPADDR=192.168.1.1
USERCTL=no
IPV6INIT=no
PEERDNS=yes

Cette adresse est invisible du serveur lui meme, il me faut la pinger depuis un autre PC.
J'essaie sous peu un nmap de cette adresse (il me faut la version Windows de nmap, le seul Linux que je possede est ce serveur)

Je suis tres inquiet car ce serveur contient beaucoup de donnees primordiale.

Auriez vous une idee de ce qui se passe?
Pirate? une erreur humaine?
Comment supprime cette adresse?

Merci!

Cedric

EDIT :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
H:\>nmap 192.168.1.2
 
Starting Nmap 4.20 ( http://insecure.org ) at 2007-07-23 10:05 India Standard Time
Interesting ports on 192.168.1.2:
Not shown: 1696 filtered ports
PORT     STATE  SERVICE
1723/tcp closed pptp
MAC Address: 00:16:36:88:43:E9 (Quanta Computer)
 
Nmap finished: 1 IP address (1 host up) scanned in 25.125 seconds

--> PPTP est du Point-to-point tunneling protocol, utilise pour le VPN.... encore plus inquietant
J'ai interdit l'acces a cette adresse dans toutes les directions par l'intermediare d'iptables.

[SnakemaN]

En effet c'est un peu bizarre au premier abord...

Tu as quoi comme serveur sur cette machine ?

mail ?
fichier ?
web ?
...

ca pourrais etre une passerelle, non , de plus 192.168.x.x c'est du local non ?
ca pourrais etre un pot de miel, non ? pas de reseau virtuel ?
(edit)
Pöur rire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
julien@julien-desktop:~$ arp -a
? (192.168.1.98) at 00:0F:1F:60:6B:46 [ether] on eth0
? (192.168.1.1) at 00:05:5D:75:0F:A3 [ether] on eth0
? (192.168.1.45) at 00:19:21:4B:CE:81 [ether] on eth0
? (192.168.1.109) at 00:30:05:00:6E:EB [ether] on eth0
? (192.168.1.7) at 00:0D:61:35:35:FF [ether] on eth0

j'ai du soucis a me faire mais j'ai un tor sur mon pc

[SYL666]

Oui, c'est tres etrange....

C'est un serveur Intranet. il sert un peu a tout, mais n'est pas sense avoir de contact vers l'exterieur

Le serveur a quelques services, voici une liste quasi exhaustive :

• SMB (c'est un Primary Domain Controler) via Samba
• passerelle Internet
• Time Server (meme pas reconnu par nmap, je suppose qu'il y a un soucis avec ce service)
• DHCPD
• SSHD
• FTP
• VNC (pour l'administration du serveur)
• Kerberos-adm (je ne savais meme pas, nmap me l'a appris, c'est peut etre via SMB.... ou pas!)

Nous ne sommes pas sense avoir de reseau virtuel

Plus etrange : quand j'ai interdit l'adresse 192.168.1.2 au niveau d'iptables, c'est la 192.168.1.3 qui a ete dupliquee!
.... je crois vraiment qu'un pirate a mis la main dessus!

Je suis en ce moment a la recherche d'une reponse a "pourquoi est ce que ce $#@$ de service Kerberos fonctionne t il?!"

[SnakemaN]

astuce :
gui pour Samba (juste une interface de configuration, pas besoin de le lancer pour lancer samba)
gsambad

gui pour Iptables (juste une interface de configuration, pas besoin de le lancer pour lancer le firewall)
FireStarter
de la doc : http://doc.ubuntu-fr.org/firestarter

Bon j'ai fait ce petit test en bloquant les adresses dupliquée :
Suivant le rapport de iptables, dans mon cas ça serait pour :
192.168.1.1 -> UDP / DHCP
192.168.1.109 -> UDP /samba

les autres sont bloquées.

Mais kerberos (Cerbère) c'est pas le protocole d'identification ? (utilisé par samba au passage )

[Mark Havel]

Ce n'est pas un peu contradictoire, une machine supposée "ne pas avoir de contact avec l'extérieur" tout en servant quand même de passerelle internet ?

Sinon, que donne un lspci (éventuellement avec -v ou -vv) ? Cela peut permettre de voir une autre interface réseau qui serait configurée et activée "accidentellement" et il me semble que cela révèle en plus l'adresse Mac selon le degré de verbosité.

[SYL666]

Bon j'ai fait ce petit test en bloquant les adresses dupliquée :
Suivant le rapport de iptables, dans mon cas ça serait pour :
192.168.1.1 -> UDP / DHCP
192.168.1.109 -> UDP /samba

les autres sont bloquées.

Que veux tu dire?

Je ne fait pas confiance aux GUI, je prefere mettre la main dans les engrenages... un puriste quoi :p.... bon, ceci dit, ca ne m'empeche pas de pas tout comprendre a ce qui ce passe actuellement

Kerberos peut, ou peut ne pas, etre utilise par SAMBA. Dans mon cas, je ne l'utilise pas, mais effectivement, peut etre est il lance par defaut... il me faut verifier.

@Mark Havel : par pas de contact avec l'exterieur, j'entends en fait que mes service n'interessent que le reseau local, pas de connexion venu de l'exterieur.... je te prie de m'excuser pour le malentendu

lspci ne m'a pas donne d'info... ceci dit, voici le detail :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
[root@sunserv network-security]# lspci
00:00.0 RAM memory: nVidia Corporation MCP55 Memory Controller (rev a2)
00:01.0 ISA bridge: nVidia Corporation MCP55 LPC Bridge (rev a3)
00:01.1 SMBus: nVidia Corporation MCP55 SMBus (rev a3)
00:02.0 USB Controller: nVidia Corporation MCP55 USB Controller (rev a1)
00:02.1 USB Controller: nVidia Corporation MCP55 USB Controller (rev a2)
00:04.0 IDE interface: nVidia Corporation MCP55 IDE (rev a1)
00:05.0 IDE interface: nVidia Corporation MCP55 SATA Controller (rev a3)
00:06.0 PCI bridge: nVidia Corporation MCP55 PCI bridge (rev a2)
00:08.0 Ethernet controller: nVidia Corporation MCP55 Ethernet (rev a3)
00:09.0 Ethernet controller: nVidia Corporation MCP55 Ethernet (rev a3)
00:0a.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0b.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0c.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0d.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0e.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:0f.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:18.0 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] HyperTransport Technology Configuration
00:18.1 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] Address Map
00:18.2 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] DRAM Controller
00:18.3 Host bridge: Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] Miscellaneous Control
01:05.0 VGA compatible controller: ASPEED Technology, Inc. AST2000
05:00.0 PCI bridge: Broadcom: Unknown device 0103 (rev b5)
06:04.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5715 Gigabit Ethernet (rev a3)
06:04.1 Ethernet controller: Broadcom Corporation NetXtreme BCM5715 Gigabit Ethernet (rev a3)

le mode very verbose ne donne pas de MAC, en tout cas pour ce qui est de mes 4 cartes Ethernet (06:04.0 et 06:04.1, 00:08.0 et 00:09.0). Aucune d'entre elles n'est coupable. les 2 cartes NVidia sont desactivees.

05:00.0 PCI bridge: Broadcom: Unknown device 0103 (rev b5) : ca, par contre, je ne sais pas ce que c'est... Linux non plus d'ailleurs

Sinon, il me semble qu'il y ait maintenant des coupures reseau totales avec le serveur.... pouvez vous vraiment me confirmer qu'un pirate ne joue pas avec ma machine zombifiee? ou pire, le reseau complet? (une bonne dizaine de machines).
Decouvrir une adresse cache qui semble provenir de eth1 qui a un port utilise pour du VPN, ca laisse songeur quand meme, non?

Merci pour vos reponses!

[Oega]

salut

J'ai eu le même souci au boulot avec le poste d'un utilisateur.
il y a juste une carte réseau integré à la carte mère et windows/linux en voyait systématiquement 2....
j'ai remis le bios par défaut etc mais il n'y avait rien à faire

la carte réseau en question était une broadcom et chez toi apparement il trouve un "device" broadcom inconnu

Je pencherai pour un souci matériel au niveau des cartes broadcom mais j'espère pour toi que ce n'est pas ça et si tu trouves la soluce, je suis preneur.

en démarrant avec un livecd, tu retrouves cette même config bizarre?