Activité réseau anormale...d'où ca vient ?

[maxv]

Bonjour,

j'ai constaté sur les logs de l'utilisation du réseau (en particulier de l'adsl, interface ppp+) en arrivant ce matin des pics d'utilisation. 1 Pic attire tout particulierement mon attention : près de 20 minutes d'utilisation intense de l'adsl (autant in que out) vers minuit trente ! Or à cette heure personne ne boss (tu me rassure ) et surtout aucun pc n'est sensé être allumé, mis à part les serveurs qui eux sont or de cause : ils ne sont pas reliés au net (serveurs d'application en interne, passerelle et dns non configurées) et fonctionnent sur un réseau totallement parrallèle avec des terminaux.

Je suis donc assez intrigué par ces utilisations tradives. Je ne cherche pas pour le moment à les empecher (sinon j'utilise le module pour la restriction horaire des connections) mais surtout à savoir d'où elles viennent ?

J'ai regardé les logs du firewall, rien de spécial bloqué à cette heure là.

le syslog (ouvert par vi car il est assez énorme) n'en dit pas plus, de même que les logs squid, snort et prélude.

Me viens alors à l'idée que peut etre que MNF à une tache de mise a jour automatique ou tout autre chose qui pomperai sur le net.

C'est le cas ? Si ca ne l'est pas, comment savoir d'où ca viens ?

EDIT : De toutes facon, je verrai bien si c'est ponctuel demain à mon arrivée, mais cela m'intrigue tout de même (backdoor & co, sachant qu'avant mon arrivée le réseau était relié au haut débit sans firewall pendant une durée de 6 mois )...

[remi]

:UP: Ca c'est un problème interressant ...

Alors les gars !!

[maxv]

Merci rémi

En arrivant ce matin j'ai constaté qu'il y avait égallement eu un pic, à 22h cette fois. Alors qu'hier un ordinateur était resté allumé, aujourd'hui il me semble qu'ils étaient tous éteind. Cela pourrait il correspondre à des déconnexion/reconnexion ?

Je vais voir du coté de eth0 et eth1 s'il y a de l'activité (ca devrai pas )...

Autrement j'ai regardé et je n'ai pas trouvé de taches programmées genre mise à jour d'antivirus ou quoi que ce soit qui se fasse la nuit.

Enfin, j'ai "décelé" des augmentations de la conso de ram ou autres trucs bizard (très forte conso de ram entre 4 et 8h hier matin, idem aujourd'hui sauf que ca continue ; très forte utilisation du cpu au cours de la nuit)... je n'y comprend rien. Je vais aller voir du coté de la crontab.

EDIT : Alors qu'hier il y avait eu de l'activité sur eth0, eth1 et ppp+ (et qu'un pc était resté allumé), aujourd'hui il n'y a eu de l'activité que sur ppp+ (ce qui me fait penser à des déconnexions/reconnexions ou alors à de l'activité fw <> wan et pas lan <> wan).
J'ai activé la reconnexion automatique et l'ai configurée à 1 minute. Est il possible que ce soit cela qui parasite mes logs (syslog me met 2 lignes toutes les minutes a propos du script adsl_reconnect.sh) ?

Reste tout de même l'activité adsl d'avant hier soir (lorsque le pc était allumé) et l'étonnante consommation des ressources système. La MNF n'a elle pas des dispositifs pour travailler ses logs ou préparer les graphiques à l'avance...

[fraedhrim]

Salut.

Tu n'as pas un serveur de messagerie avec des rêgles du type "envoi des messages de plus de X Mo à minuit" ?

Sinon augmente ta capacité de logs firewall pendant cet intervalle pour voir ce qu'il se passe.

A+

[maxv]

Salut.

Tu n'as pas un serveur de messagerie avec des rêgles du type "envoi des messages de plus de X Mo à minuit" ?

Sinon augmente ta capacité de logs firewall pendant cet intervalle pour voir ce qu'il se passe.

A+

Absolument aucun, pas de serveurs avec des services "internet".

Juste un serveurs d'application sur un reseau indépendant et interne, un serveur de base de donné qui réalise à minuit un "partage de donné" avec un autre serveur distant, mais pas via l'adsl et mon pare-feu.

Augmenter la capacité des logs firewall ? J'ai rien trouvé de tel dans l'interface :s

[fraedhrim]

Augmenter la capacité des logs firewall ? J'ai rien trouvé de tel dans l'interface

Je ne connais pas la MNF. Je proposais. Tu ne peux pas logger tout ce qu'il se passe avec la MNF ?

A+

[maxv]

Ben la MNF c'est nouveau pour moi. Dites moi si je me trompe mais niveau log depuis l'interface j'ai accès aux logs du firewall (ce qu'il a bloqué), aux logs du proxyweb (quels sites les users on visité) et ceux de l'IDS (qui ne me donnent rien).
Donc d'après moi, n'est logué du trafic sortant que ce qui est consideré comme du http...

(Une question pour les connaisseurs de la MNF, y a t'il des taches cron ou autres travaux automatiques qui sont chargés de mettre à jour les signatures Snort (sinon son éfficacité serait grandement réduite) ?

EDIT : Une petite question comme ca... Pourquoi par défaut, sur le port 113 (wan > lan) il y a un REJECT et pas un DROP ?

[Jacques-]

Pour le port 113, c'est pas politesse semble-t-il, on rejette une demande d'authentification mais on ne la refuse pas.
Chez moi, la règle est devenue DROP... sinon on ne reste pas furtif trop longtemps.
Pour les mises à jour SNORT, je n'ai pas vu de règles dans les scripts, donc il serait bien de vérifier la base des signatures à la main.
Pour ton activité intensive dans la nuit, hors trafic réseau, il est probable que le changement de mois récent a entrainé pas mal de mise à jour des logs dans squid, des calculs de moyenne, bande passante, génération de graphes, etc..., ce qui expliquerait ton activité CPU.
Pour le reste, le trafic réseau la nuit n'a pas à être modifié, il n'y a pas de mise à jour automatique de base dans la MNF, cela ressemblerait plutôt à une machine essayant de faire du P2P sur ton réseau. Tu devrais trouver les trafics similaires dans les graphes sur l'interface PPP et LAN.
La script de reconnexion écrit bien toutes les minutes dans le log, mais ça ne prend que de la place... tu dois pouvoir modifier le script pour rediriger le message dans /dev/null sans trop de mal.
Pour faire un test de l'activité, et essayer de savoir quelle machine génère le trafic, tu peux programmer un netstat -a >> /tmpd/netstat.log par exemple dans un cron, toutes les 10mn par exemple.
Bonnes recherches et donnes nous le résultat pour info

Jacques

[maxv]

oky merci pour l'idée tu la tache cron, je vais mettre ca en place (l'ennui c'est que je part en vacances...enfin ca m'ennui pas vraiment )

Pour le 113, préférant être discret plutot qu'etre poli, je vais la modifier...

Ensuite, pour ce qui s'est passé cette nuit :
Pareil, un pic un peu avant minuit... Sur ppp0. C'est pas simple de voir si il y a eu de l'activité sur eth1 car en fait les échelles ne sont pas les mêmes et si l'on rapport les mesures de ppp0 sur le graph de eth1 ca sera insignifiant et on ne verra pas les fluctuations (toujours a cause des différences d'échelles liées aux différences de débit lan <> wan)...

Sinon ma consomation de RAM elle (l'activité CPU c'est bon) ne se calme pas, sur 512 Mo il m'en reste...5 de libre ! (Seulement un Mo de libre sur de la RAM c'est un Mo perdu donc je pense que c'est bon signe qu'il s'en serve...seulement ca m'$%#&! car il va devoir swapper tot ou tard et ca j'aime pas ). Et puis bon, je trouve cette consomation un peu excessive pour un uptime de seulement 2 jours !

Je vais égallement voir pour la mise à jour de SNORT car un IDS avec des signatures qui ne sont pas à jour, c'est comme un antivirus désactivé : ca sert à rien. Si mon script a de la geule, je le posterai ici

Dernière chose, qq1 à t'il déja installé le "lecteur de logs" intitulé "lire" sur une mnf8.2 ?

Merci pour vos réponses, celles que vous avez déja postés et celles que vous allez poster.

[maxv]

Pour le script de reconnexion, je n'ai pas une connaissance profonde du bash. Rien dans "usr/sbin/adsl-reconnect.sh" ne me permet de penser que quoi que ce soit soit logué... Je pense plutot qu'il log au niveau de la crontab : à chaques fois (toutes les minutes) qu'il tombe dessus, il le lance et log donc ca se passe indépendament du script (peut etre )... nan ?

Je laisse adsl-reconnect.sh ici pour que qq1 qu'y s'y connait déja un peu plus jette un oeil...

Code: Tout sélectionner

#!/bin/sh

# Copyright (C) 2000,2001 Mandrakesoft
# Author Renaud Chaillat <rchaillat@mandrakesoft.com>

# $Id: adsl-reconnect.sh,v 1.1.1.1 2001/06/13 11:37:27 rchaillat Exp $

## Call this script in your crontab to have automatic reconnection
## of your adsl connection

[ ! -e /etc/pingtest.conf ] && exit;
. /etc/pingtest.conf

[ -z $HostToPing ] && exit;

if ! ping -c 1 $HostToPing  >/dev/null 2>&1 ; then

        /sbin/service adsl restart
fi
~


[maxv]

J'ai commencé mon script pour mettre à jour SNORT...seulement je viens de m'appercevoir de la chose suivant : c'est SNORT 1.90 qui est installé sur ma machine... et on en est à SNORT 2.20 !

Je sent que je vais passer illico à MNF10 moi !

[Methos_Hi]

de base snort ne fonctionne pas dans mnf10 car les fichiers de config sont ceux de mnf8.2 et donc de snort 1.9.
Il faut donc télécharger un pack de signature avec les fichiers de config à jour et les remplacer.

[maxv]

aie aie, je suis coincé là... parce que lire serait plus facilement instalable sur mdk10.

y a t'il d'autres trucs a savoir sur mnf10 ?

EDIT : Pour le moment j'ai trouvé :

- Booter avec les diskettes network.img
- Selectionner httpd2-naat
- Ne pas utiliser comme mirroir cooker mais official

[Jacques-]

Si ce n'est que le graphe de la dispo de RAM qui t'inquiète, ne te fais pas de soucis.
Toute la RAM (ou presque) est réservée par la MNF, ce qu'il faut surveiller en fait c'est l'utilisation du SWAP, si la ligne ne bouge pas (ce qui est le cas depuis plus d'un an chez moi) je ne me ferais pas de bile.

C'est vrai que la 8.2 commence à dater pas mal, et que mettre des softs autres que ceux de la MNF est toujours délicat (heureux les possesseurs des CD de la mandrake 8.2) mais pour ton problème de log, il est toujours possible d'exporter les logs de syslog sur une autre machine via le réseau.

Le script adsl-reconnect ne logue rien effectivement, c'est la tache cron (peut-être) ou plus probablement le service adsl qui logue la connexion.
A vérifier dans le log ce qui est écrit, et modifier la tâche cron éventuellement (genre :

ma_tache_a_faire > /dev/null 2>&1

ce qui masquera à la fois la sortie de la commande et les erreurs.

Jacques