[Résolu] IP bannie

par **jeanjan** » 19 Nov 2004 14:20

Mon adresse ip est bannie

Salut à tous,

sur une SME Server 6.0.1-01, pour la description des services installés voici un ps -ef :

Code: Tout sélectionner: root 1 0 0 Oct27 ? 00:00:06 init [7] root 2 1 0 Oct27 ? 00:00:00 [keventd] root 3 1 0 Oct27 ? 00:00:00 [kapmd] root 4 1 0 Oct27 ? 00:00:00 [ksoftirqd_CPU0] root 5 1 0 Oct27 ? 00:00:07 [kswapd] root 6 1 0 Oct27 ? 01:04:32 [kscand] root 7 1 0 Oct27 ? 00:00:00 [bdflush] root 8 1 0 Oct27 ? 00:00:00 [kupdated] root 9 1 0 Oct27 ? 00:00:00 [mdrecoveryd] root 13 1 0 Oct27 ? 00:01:13 [kjournald] root 104 1 0 Oct27 ? 00:00:00 [khubd] root 317 1 0 Oct27 ? 00:00:00 [kjournald] root 454 1 0 Oct27 tty2 00:00:00 /sbin/mingetty tty2 root 455 1 0 Oct27 tty3 00:00:00 /sbin/mingetty tty3 root 456 1 0 Oct27 ? 00:00:00 /usr/local/bin/svscan /service root 487 456 0 Oct27 ? 00:00:00 supervise cvm-unix-local root 488 456 0 Oct27 ? 00:00:00 supervise log root 489 487 0 Oct27 ? 00:00:00 /usr/bin/cvm-unix-local /var/lib/cvm/cvm-unix-local.socket cvmlog 490 488 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/cvm root 491 456 0 Oct27 ? 00:00:00 supervise qmail root 492 456 0 Oct27 ? 00:00:00 supervise log root 493 456 0 Oct27 ? 00:00:00 supervise smtpfront-qmail root 494 456 0 Oct27 ? 00:00:00 supervise log root 495 456 0 Oct27 ? 00:00:00 supervise dnscache root 496 456 0 Oct27 ? 00:00:00 supervise log root 497 456 0 Oct27 ? 00:00:00 supervise imap root 498 456 0 Oct27 ? 00:00:00 supervise log root 499 456 0 Oct27 ? 00:00:00 supervise dhcpcd root 500 456 0 Oct27 ? 00:00:00 supervise log root 501 456 0 Oct27 ? 00:00:00 supervise dhcpd root 502 456 0 Oct27 ? 00:00:00 supervise log root 503 456 0 Oct27 ? 00:00:00 supervise pppoe root 504 456 0 Oct27 ? 00:00:00 supervise log dnslog 505 496 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/dnscache qmaill 506 492 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/qmail imaplog 507 498 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/imap root 508 456 0 Oct27 ? 00:00:00 supervise nmbd root 509 456 0 Oct27 ? 00:00:00 supervise log qmaill 510 494 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/smtpfront-qmail smelog 511 500 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/dhcpcd root 512 456 0 Oct27 ? 00:00:00 supervise smbd root 513 456 0 Oct27 ? 00:00:00 supervise log root 514 456 0 Oct27 ? 00:00:00 supervise tinydns root 515 456 0 Oct27 ? 00:00:00 supervise log root 516 456 0 Oct27 ? 00:00:00 supervise popd root 517 456 0 Oct27 ? 00:00:00 supervise log qmaill 518 504 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/pppoe smelog 519 502 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/dhcpd dnslog 520 515 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/tinydns root 521 509 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/nmbd smelog 522 517 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/popd root 523 513 0 Oct27 ? 00:00:00 /usr/local/bin/multilog t s5000000 /var/log/smbd root 540 1 0 Oct27 ? 00:00:21 syslogd -m 0 root 545 1 0 Oct27 ? 00:00:12 klogd -c 1 -2 nobody 705 1 0 Oct27 ? 00:00:00 /usr/sbin/oidentd -m -f -u nobody -g nobody root 1269 1 0 Oct27 ? 00:00:00 [eth0] root 1456 1 0 Oct27 ? 00:00:00 crond root 1497 499 0 Oct27 ? 00:00:00 /bin/sh ./run root 1503 1497 0 Oct27 ? 00:00:00 fghack dhcpcd -dCR eth1 root 1504 1503 0 Oct27 ? 00:00:00 [dhcpcd <defunct>] root 1506 1 0 Oct27 ? 00:00:00 dhcpcd -dCR eth1 root 1549 1 0 Oct27 ? 00:00:00 xinetd -stayalive -pidfile /var/run/xinetd.pid dnscache 1777 495 0 Oct27 ? 00:00:00 /usr/local/bin/dnscache dns 1879 514 0 Oct27 ? 00:00:00 /usr/local/bin/tinydns lp 1961 1 0 Oct27 ? 00:00:00 lpd Waiting ldap 2095 1 0 Oct27 ? 00:00:00 /usr/sbin/slapd -u ldap ldap 2096 2095 0 Oct27 ? 00:00:00 /usr/sbin/slapd -u ldap ldap 2101 2096 0 Oct27 ? 00:00:00 /usr/sbin/slapd -u ldap ntp 2136 1 0 Oct27 ? 00:00:00 ntpd -U ntp ntp 2193 1 0 Oct27 ? 00:00:00 ntpd -U ntp root 2263 1 0 Oct27 ? 00:00:01 httpd root 2464 1 0 Oct27 ? 00:00:00 /usr/sbin/httpd-admin -f /etc/httpd/admin-conf/httpd.conf -D HAVE_PERL -D HAVE_PHP4 -D HAVE_PROXY -D HAVE_SSL -D HAV root 2486 1 0 Oct27 ? 00:00:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf mysql 2546 2486 0 Oct27 ? 00:00:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var root 2617 512 0 Oct27 ? 00:00:00 /usr/sbin/smbd -F -S root 2627 1 0 Oct27 ? 00:00:00 squid -D squid 2629 2627 0 Oct27 ? 00:00:02 (squid) -D root 2630 1 0 Oct27 ? 00:00:00 atalkd -f /etc/atalk/atalkd.conf root 2658 508 0 Oct27 ? 00:00:00 /usr/sbin/nmbd -F -S mysql 2660 2546 0 Oct27 ? 00:00:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var mysql 2661 2660 0 Oct27 ? 00:00:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var squid 2662 2629 0 Oct27 ? 00:00:00 (unlinkd) mysql 2700 2660 0 Oct27 ? 00:00:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var root 2701 1 0 Oct27 ? 00:11:00 /usr/bin/perl -w /usr/bin/sme6admind root 2777 1 0 Oct27 ? 00:01:41 /usr/bin/perl -w /usr/sbin/sysmon root 2847 1 0 Oct27 tty1 00:00:00 /sbin/mingetty tty1 root 2880 1 0 Oct27 ? 00:00:00 papd -f /etc/atalk/papd.conf root 2885 1 0 Oct27 ? 00:00:00 afpd -c 20 -n fw-maisondieu -f /etc/atalk/AppleVolumes.default -s /etc/atalk/AppleVolumes.system -U uams_dhx.so,uams snort 24794 1 0 Nov14 ? 00:00:04 /usr/sbin/snort -D -i eth1 -u snort -g snort -c /etc/snort/snort.conf root 14525 1 0 10:35 ? 00:00:00 sshd: root@pts/0 root 14527 14525 0 10:35 pts/0 00:00:00 -bash root 14762 1 0 10:47 ? 00:00:00 sshd: admin [priv] admin 14769 14762 0 10:48 ? 00:00:00 sshd: admin@pts/1 root 14770 14769 0 10:48 pts/1 00:00:00 /usr/bin/perl -wT /dev/fd/3//sbin/e-smith/console root 14771 14770 0 10:48 pts/1 00:00:00 /usr/bin/logger -p local1.info -t console root 14775 14770 0 10:48 pts/1 00:00:00 /usr/bin/lynx -auth= -localhost -nopause -restrictions=all -rlogin -telnet localhost/common/noframes www 16434 2263 0 11:40 ? 00:00:00 httpd www 16435 2263 0 11:40 ? 00:00:00 httpd www 16436 2263 0 11:40 ? 00:00:00 httpd www 16437 2263 0 11:40 ? 00:00:00 httpd www 16438 2263 0 11:40 ? 00:00:00 httpd www 16439 2263 0 11:40 ? 00:00:00 httpd www 16440 2263 0 11:40 ? 00:00:00 httpd www 16441 2263 0 11:40 ? 00:00:00 httpd www 16442 2263 0 11:40 ? 00:00:00 httpd www 16513 2263 0 11:40 ? 00:00:00 httpd root 16567 501 0 11:40 ? 00:00:00 /usr/sbin/dhcpd -d -f -cf /etc/dhcpd.conf -lf /var/lib/dhcp/dhcpd.leases -pf /var/run/dhcpd-eth0.pid eth0 root 16608 1 0 11:40 ? 00:00:00 /usr/sbin/sshd root 16815 1 0 11:40 ? 00:00:00 /usr/sbin/pptpd -f admin 16844 2464 0 11:40 ? 00:00:00 /usr/sbin/httpd-admin -f /etc/httpd/admin-conf/httpd.conf -D HAVE_PERL -D HAVE_PHP4 -D HAVE_PROXY -D HAVE_SSL -D HAV admin 16855 2464 0 11:40 ? 00:00:00 /usr/sbin/httpd-admin -f /etc/httpd/admin-conf/httpd.conf -D HAVE_PERL -D HAVE_PHP4 -D HAVE_PROXY -D HAVE_SSL -D HAV root 18314 14527 0 13:02 pts/0 00:00:00 ps -ef

Donc sur ce serveur, mon adresse ip est bannie.
Le port ssh est ouvert et je peux m'y connecter de n'importe quelle ip sauf la mienne.
Je ne peux même pas accéder aux pages web de base sur le port 80, encore moins au server-manager.
Je ne peux pas le pinger non plus alors que les autres le peuvent.
J'ai autoriser mon ip pour le remote management.

Qu'est-ce qui me bloque de la sorte ? je n'ai pas ajouté de règles particulières. Il y a snort qui m'a peut-être blacklisté ...?

Pouvez-vous m'aider ?

par **jeanjan** » 21 Nov 2004 12:12

j'ai toujours pas trouvé...pourtant je cherche...

par **svart** » 21 Nov 2004 13:38

Salut,

Je ne sais pas... As-tu depuis une autre machine passé en revue toute ta config de sécurité, histoire de voir si par hasard tu n'aurais pas, au lieu de l'autoriser, bloqué ton IP ? Si toutes les IP locales passent sauf la tienne, ce peut être la cause.

Plutôt que la liste des services, regarde dans le journal la raison du refus de l'accès.

par **guiguid** » 21 Nov 2004 15:33

Salut,
que te donnes
iptables - L
?
a+

par **jeanjan** » 21 Nov 2004 22:19

guiguid a écrit:Salut,
que te donnes
iptables - L
?
a+

Merci de m'aider, ça donne ça :

Code: Tout sélectionner: [root@localhost root]# iptables -L Chain INPUT (policy DROP) target prot opt source destination state_chk all -- anywhere anywhere local_chk all -- anywhere anywhere PPPconn all -- anywhere anywhere DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4 ACCEPT udp -- anywhere anywhere udp dpts:bootps:boot pc InboundICMP icmp -- anywhere anywhere denylog icmp -- anywhere anywhere InboundTCP tcp -- anywhere anywhere tcp flags:SYN,RST,A CK/SYN denylog tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN InboundUDP udp -- anywhere anywhere denylog udp -- anywhere anywhere ACCEPT udp -- anywhere anywhere udp spts:bootps:boot pc gre-in gre -- anywhere anywhere denylog gre -- anywhere anywhere denylog all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination ForwardDenyLocals all -- anywhere anywhere state_chk all -- anywhere anywhere local_chk all -- anywhere anywhere ForwardedTCP tcp -- anywhere anywhere tcp flags:SYN,RST ,ACK/SYN ForwardedUDP udp -- anywhere anywhere denylog all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination PPPconn all -- anywhere anywhere DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4 OutboundICMP icmp -- anywhere anywhere denylog icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain ForwardDenyLocals (1 references) target prot opt source destination Chain ForwardedTCP (1 references) target prot opt source destination ForwardedTCP_18527 all -- anywhere anywhere denylog tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN Chain ForwardedTCP_18527 (1 references) target prot opt source destination Chain ForwardedUDP (1 references) target prot opt source destination ForwardedUDP_18527 all -- anywhere anywhere denylog udp -- anywhere anywhere Chain ForwardedUDP_18527 (1 references) target prot opt source destination Chain InboundICMP (1 references) target prot opt source destination InboundICMP_18527 all -- anywhere anywhere denylog icmp -- anywhere anywhere Chain InboundICMP_18527 (1 references) target prot opt source destination ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp echo-reply ACCEPT icmp -- anywhere anywhere icmp destination-unr eachable ACCEPT icmp -- anywhere anywhere icmp source-quench ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp parameter-probl em denylog all -- anywhere anywhere Chain InboundTCP (1 references) target prot opt source destination InboundTCP_18527 all -- anywhere anywhere denylog tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN Chain InboundTCP_18527 (1 references) target prot opt source destination denylog all -- anywhere !xxx.xxx.xxx.xxx ACCEPT tcp -- anywhere anywhere tcp dpt:auth denylog tcp -- anywhere anywhere tcp dpt:ftp ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT tcp -- anywhere anywhere tcp dpt:https denylog tcp -- anywhere anywhere tcp dpt:imap2 denylog tcp -- anywhere anywhere tcp dpt:ldap denylog tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:1723 denylog tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:ssh denylog tcp -- anywhere anywhere tcp dpt:telnet Chain InboundUDP (1 references) target prot opt source destination InboundUDP_18527 all -- anywhere anywhere denylog udp -- anywhere anywhere Chain InboundUDP_18527 (1 references) target prot opt source destination denylog all -- anywhere !xxx.xxx.xxx.xxx Chain OutboundICMP (1 references) target prot opt source destination OutboundICMP_18527 all -- anywhere anywhere denylog icmp -- anywhere anywhere Chain OutboundICMP_18527 (1 references) target prot opt source destination ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp echo-reply ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp source-quench ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp parameter-problem denylog all -- anywhere anywhere Chain PPPconn (2 references) target prot opt source destination PPPconn_18527 all -- anywhere anywhere Chain PPPconn_18527 (1 references) target prot opt source destination Chain denylog (24 references) target prot opt source destination DROP udp -- anywhere anywhere udp dpt:route DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn DROP tcp -- anywhere anywhere tcp dpts:netbios-ns:netbios-ssn LOG all -- anywhere anywhere LOG level warning prefix `denylog:' DROP all -- anywhere anywhere Chain gre-in (1 references) target prot opt source destination denylog all -- anywhere !xxx.xxx.xxx.xxx ACCEPT all -- anywhere anywhere Chain local_chk (2 references) target prot opt source destination local_chk_18527 all -- anywhere anywhere Chain local_chk_18527 (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere Chain state_chk (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Mais je ne vois mon ip nulle part.

par **jeanjan** » 21 Nov 2004 22:36

svart a écrit:Salut,

Je ne sais pas... As-tu depuis une autre machine passé en revue toute ta config de sécurité, histoire de voir si par hasard tu n'aurais pas, au lieu de l'autoriser, bloqué ton IP ? Si toutes les IP locales passent sauf la tienne, ce peut être la cause.

Plutôt que la liste des services, regarde dans le journal la raison du refus de l'accès.

salut,
de quel journal parles-tu ?
Quand je fais

Code: Tout sélectionner: tail -f /var/log/messages

et que je tente d'ouvrir une session ssh, je ne me vois pas arriver, j'en vois pleins d'autres mais pas moi.

par **guiguid** » 21 Nov 2004 22:57

ACCEPT all -- 192.168.0.0/24 anywhere

Si ton PC en question est dans ce reseau cela doit etre bon.

Tu n'aurais pas de firewall a 2 franc sur le PC en question ?

sinon,
arrete tous tes autres postes sauf celui qui pose probleme et le serveur.
sur le serveur en root tape :
tcpdump -i eth0

(eth0 etant l'interface connecté a ton reseau)
(CTRL-C pour finir)

et tente une connexion en ssh, et si tu ne vois rien, commence a chercher du cote de ton PC plutot que du serveur.

a+

par **jeanjan** » 21 Nov 2004 23:07

J'ai dù mal m'expliquer, c'est de l'extérieur que je viens.
J'ai bien kerio, un firewall à 3 francs parce qu'il est qd même pas mal :wink:

, quand je le désactive, ça ne change rien et j'ai un linux aussi qui n'y arrive pas plus.

par **guiguid** » 21 Nov 2004 23:16

desole j'avais pas compris l'exterieur... la fatigue...

bon cela reste bon a une modif pres....

arrete tous tes autres postes sauf celui qui pose probleme et le serveur.
sur le serveur en root tape :
tcpdump -i eth0

(eth0 etant l'interface connecté a internet)
(CTRL-C pour finir)

et tente une connexion en ssh, et si tu ne vois rien ....

dans le server-manager, tu as bien mis access SSH autorisé a tout internet ?

par **jeanjan** » 21 Nov 2004 23:25

ok, je regarde.
oui j'avais mis acces à tout le monde en ssh.

par **jeanjan** » 21 Nov 2004 23:52

ça donne ça :

Code: Tout sélectionner: 22:48:09.362389 mon reverse.33046> reverse du sme.ssh: S 3940611005:3940611005(0) win 65535 <mss 1460,nop ,nop,sackOK> (DF) 22:48:12.370317 mon reverse.33046> reverse du sme.ssh: S 3940611005:3940611005(0) win 65535 <mss 1460,nop ,nop,sackOK> (DF) 22:48:18.388597 mon reverse.33046 > reverse du sme.ssh: S 3940611005:3940611005(0) win 65535 <mss 1460,nop ,nop,sackOK> (DF)

C'est grave docteur ???

par **guiguid** » 22 Nov 2004 00:06

ok, c'est SME qui ne reponds pas,
donc il faut chercher sur SME.

Au niveau du server-manager, qu'as tu mis pour l'access SSH ?

par **jeanjan** » 22 Nov 2004 00:08

Paramètres Secure shell

Accès Secure shell Permettre l'accès public (tout Internet)
Permettre l'accès à la ligne de commande administrative avec Secure shell Oui
Permettre l'accès par Secure shell à l'aide des mots de passe standard Oui

par **guiguid** » 22 Nov 2004 00:26

bon ca a l'air ok,

as-tu rajouté des contribs type transfert de port, bloquage d'IP, ou qui peut avoir un rapport avec la choucroute ?

par **jeanjan** » 22 Nov 2004 00:31

Je pensais que ça se voyait dans les services.
Il y a snort et acid que je soupçonne.

et voici la liste dans server-manager :

Firewall Management
Backup to workstation
Sme6admin
System Monitor
Sauvegarder ou restaurer
Créer une disquette de réinstallation
Web statistics
Port scan
Disk usage Users
SARG reports
Disk usage Ibays
Update system
Visualiser les fichiers journaux
Analyse des fichiers du journal courrier
Redémarrer ou arrêter

Il y a un autre moyen pour voir les contribs installées ?

[Résolu] IP bannie

[Résolu] IP bannie

Qui est en ligne ?