Scan FTP sur requêtes local (via console ou SSH)

par **stardust** » 14 Mai 2003 12:43

Bonjour, Je teste actuellement Interscan Virus Wall 3.8 sur une SME 5.6 Update 3, J'intercepte les requêtes LAN vers le port 21 et je les redirige par exemple sur le port localhost 8021 (mon port d'écoute iscanftp). Ok à partir du LAN puisque l'enchaînement des connexions se fait ainsi : 1) Requête d'un client du LAN vers le port 21 d'un serveur FTP --> chaîne PREROUTING de la table nat d'iptables --> port 8021 de mon serveur SME. 2) Requête d'Ipscanftp vers le port 21 du serveur FTP visé--> chaîne OUTPUT de la table nat d'iptables(aucune action de redirection et ACCEPT par défaut) --> port 21 du serveur FTP visé. OK Mais voila, je souhaite aussi que les FTP initialisés à partir de la console ou d'un accès SSH soient analysés. Je suis donc obligé de créer une entrée pour intercepter les requêtes vers le port 21 dans la chaîne OUTPUT de la table nat d'iptables. Et là l'enchaînement des connexions se fait ainsi : 1) Requête à partir de la console vers le port 21 d'un serveur FTP--> chaîne OUTPUT de la table nat d'iptables --> port 8021 de mon serveur SME. 2) Requête d'Ipscanftp vers le port 21 du serveur FTP visé --> chaîne OUTPUT de la table nat d'iptables --> port 8021 de mon serveur SME. L'on constate que c'est le serpent qui se mord la queue. J'ai regardé si l'utilisateur des 2 sessions était différents (malheureusement NON). Quelqu'un à t'il une idée ? <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_help.gif">

par **tomtom** » 14 Mai 2003 13:09

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-14 12:43, stardust a écrit: Bonjour, Je teste actuellement Interscan Virus Wall 3.8 sur une SME 5.6 Update 3, J'intercepte les requêtes LAN vers le port 21 et je les redirige par exemple sur le port localhost 8021 (mon port d'écoute iscanftp). Ok à partir du LAN puisque l'enchaînement des connexions se fait ainsi : 1) Requête d'un client du LAN vers le port 21 d'un serveur FTP --> chaîne PREROUTING de la table nat d'iptables --> port 8021 de mon serveur SME. 2) Requête d'Ipscanftp vers le port 21 du serveur FTP visé--> chaîne OUTPUT de la table nat d'iptables(aucune action de redirection et ACCEPT par défaut) --> port 21 du serveur FTP visé. OK Mais voila, je souhaite aussi que les FTP initialisés à partir de la console ou d'un accès SSH soient analysés. Je suis donc obligé de créer une entrée pour intercepter les requêtes vers le port 21 dans la chaîne OUTPUT de la table nat d'iptables. Et là l'enchaînement des connexions se fait ainsi : 1) Requête à partir de la console vers le port 21 d'un serveur FTP--> chaîne OUTPUT de la table nat d'iptables --> port 8021 de mon serveur SME. 2) Requête d'Ipscanftp vers le port 21 du serveur FTP visé --> chaîne OUTPUT de la table nat d'iptables --> port 8021 de mon serveur SME. L'on constate que c'est le serpent qui se mord la queue. J'ai regardé si l'utilisateur des 2 sessions était différents (malheureusement NON). Quelqu'un à t'il une idée ? <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_help.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Une option du module owner doit te permettre de t'en sortir : c'est l'option --pid-owner Tu peux l'utiliser ainsi : iptables -t nat -A OUTPUT -m owner --pid-owner pid_du_interscan -j ACCEPT a placer evidemment avant ta regle de redirect vers localhost 8021 ! Sinon, tu rajoutes juste à ta règle existante : -m owner --pidowner ! pid_interscan. Bon, le difficulté c'est qu'il va falloir verifier ddeja que le module owner est installé, et ensuite que le paquet matche bien avec le process (c'est experimental !). Enfin, il va falloir recuperer le pid de interscan au moment de la creation de la règle, et donc qu'il soit lancé avent le script de règles... C'est jouable ! Courage Tom

par **stardust** » 14 Mai 2003 14:16

En effet si j'utilise le PPID de mes processus, cela fonctionne !! Reste comme tu le dit : "à recupérer le pid de interscan au moment de la création de la règle, et donc qu'il soit lancé avant le script de règles..." Là, je sais pas faire ... <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_help.gif">

par **tomtom** » 14 Mai 2003 14:38

Ben il faut faire un petit ps aux : interscan_pid=`ps aux | grep interscan | grep -v grep | awk '{ printf("%d n", $2) }'` (je connais pas interscan, donc je ne suis pas sur que le grep fonctionne, adapte en fonction du nom !) tu mets ca dans un variable au debut du rc.firewall, et tu utilises $interscan_pid dans le --pid-owner Attention, il faut que interscan tourne, car sinon interscan_pid sera mis à '' et plus rien ne va marcher.... Il faut donc etre sur qu'il soit lancé avant le firewall ! Tom

par **stardust** » 14 Mai 2003 15:16

OK pour le grep seulement la commande : ps -aux | grep isftp | grep -v grep me sort 25 processus dont le mien évidemment. En fait le processus qui m'intéresse est 3 niveaux sous PID 1 !!! <IMG SRC="images/smiles/icon_biggrin.gif"> Déja plus complexe le truc <IMG SRC="images/smiles/icon_bawling.gif"> Une autre <IMG SRC="images/smiles/icon_find.gif">

par **tomtom** » 14 Mai 2003 15:24

Comment as-tu recupéré son pid tout à l'heure ?

par **stardust** » 14 Mai 2003 15:36

J'ai fait un ps -alx | grep isftp avant de lancer mon ftp à partir de mon accès SSH; Puis un second ps -alx | grep isftp après l'avoir lancé et j'ai regardé le PPID des 2 nouveaux processus crées. En fait une fois iscanftps démarré, le PPID des nouveaux processus est toujours le même (c'est ce PPID qui m'intéresse), il faudrait faire un script qui une fois iscanftps démarré : 1) Lance un ftp vers un serveur bidon afin de démarrer un nouveau processus isftp puis 2) récupére le PPID de ce processus et 3) quitte le ftp. <IMG SRC="images/smiles/icon_eek.gif">

par **tomtom** » 14 Mai 2003 15:38

Peux tu me donner le resultat d'un ps -alx sur ta machine stp ? Je suis assez curieux ! Tom

par **tomtom** » 14 Mai 2003 15:40

Mais attend ! c'est bien le pid qui m'interresse ! Ce qu'il faut, c'est au contraire recuperer le pid du premier process lancé (apres tous les autres ont comme ppid le pid du prmier puisque ce sont des fork !!!!! ) Tom

par **stardust** » 14 Mai 2003 15:57

Voici : F UID PID PPID PRI NI VSZ RSS WCHAN STAT TTY TIME COMMAND 100 0 1 0 15 0 1372 480 schedu S ? 0:04 init [7] 040 0 2 1 15 0 0 0 contex SW ? 0:00 [keventd] 040 0 3 1 15 0 0 0 schedu SW ? 0:00 [kapmd] 040 0 4 1 34 19 0 0 ksofti SWN ? 0:00 [ksoftirqd_ 040 0 5 1 15 0 0 0 schedu SW ? 0:00 [kswapd] 040 0 6 1 25 0 0 0 bdflus SW ? 0:00 [bdflush] 040 0 7 1 15 0 0 0 schedu SW ? 0:00 [kupdated] 040 0 8 1 25 0 0 0 md_thr SW ? 0:00 [mdrecovery 040 0 12 1 15 0 0 0 end SW ? 0:00 [kjournald] 040 0 153 1 17 0 0 0 end SW ? 0:00 [khubd] 040 0 178 1 15 0 0 0 end SW ? 0:00 [kjournald] 100 0 383 1 15 0 1384 308 schedu S ? 0:00 /usr/local/ 000 0 400 383 15 0 1344 296 schedu S ? 0:00 supervise s 000 0 401 383 15 0 1344 296 schedu S ? 0:00 supervise l 000 0 416 383 15 0 1344 296 schedu S ? 0:00 supervise q 000 0 417 383 15 0 1344 296 schedu S ? 0:00 supervise l 000 0 418 383 15 0 1344 296 schedu S ? 0:00 supervise p 000 0 419 383 15 0 1344 296 schedu S ? 0:00 supervise l 100 402 420 401 15 0 1356 296 pipe_w S ? 0:00 /usr/local/ 100 402 421 417 15 0 1356 296 pipe_w S ? 0:00 /usr/local/ 100 402 423 419 15 0 1356 292 pipe_w S ? 0:00 /usr/local/ 040 0 448 1 15 0 1444 584 schedu S ? 0:00 syslogd -m 140 0 453 1 15 0 2056 1160 do_sys S ? 0:00 klogd -c 1 140 99 1214 1 18 0 1412 516 schedu S ? 0:00 /usr/sbin/o 040 0 1255 1 15 0 1416 564 schedu S ? 0:00 crond 140 0 1289 1 15 0 2032 792 schedu S ? 0:00 xinetd -sta 140 38 1344 1 15 0 1884 1876 schedu SL ? 0:00 ntpd -U ntp 040 4 1416 1 15 0 2664 1000 schedu S ? 0:00 lpd Waiting 040 0 1452 1 15 0 1580 664 schedu S ? 0:00 /usr/sbin/d 040 55 1497 1 16 0 6356 1928 rt_sig S ? 0:00 /usr/sbin/s 040 55 1499 1497 15 0 6356 1928 schedu S ? 0:00 /usr/sbin/s 040 55 1501 1499 17 0 6356 1928 schedu S ? 0:00 /usr/sbin/s 100 406 1542 416 15 0 1396 344 schedu S ? 0:00 qmail-send 000 0 1544 1542 16 0 1360 288 schedu S ? 0:00 qmail-lspaw 100 405 1545 1542 15 0 1360 312 schedu S ? 0:00 qmail-rspaw 100 404 1546 1542 15 0 1352 300 pipe_w S ? 0:00 qmail-clean 140 0 1584 1 15 0 78188 5132 schedu S ? 0:00 httpd 140 100 1587 1584 15 0 78328 5432 semop S ? 0:00 httpd 140 100 1588 1584 15 0 78336 5432 semop S ? 0:00 httpd 140 100 1589 1584 15 0 78336 5432 semop S ? 0:00 httpd 140 100 1590 1584 15 0 78316 5412 semop S ? 0:00 httpd 140 100 1591 1584 15 0 78336 5432 semop S ? 0:00 httpd 140 100 1592 1584 15 0 78336 5432 semop S ? 0:00 httpd 140 100 1593 1584 15 0 78336 5432 semop S ? 0:00 httpd 140 100 1594 1584 15 0 78316 5408 schedu S ? 0:00 httpd 140 100 1595 1584 16 0 78316 5408 semop S ? 0:00 httpd 140 100 1596 1584 15 0 78308 5408 semop S ? 0:00 httpd 100 401 1635 400 15 0 1408 452 schedu S ? 0:00 /usr/local/ 140 0 1673 1 20 0 2636 1204 schedu S ? 0:01 /usr/sbin/s 140 0 1828 1 15 0 5936 2660 schedu S ? 0:00 /usr/sbin/h 140 101 1831 1828 15 0 6016 2804 schedu S ? 0:00 /usr/sbin/h 100 0 1850 1 17 0 2296 1076 wait4 S ? 0:00 /bin/sh /us 100 27 1904 1850 16 0 27912 4216 schedu S ? 0:00 /usr/libexe 040 0 1980 1 16 0 3852 1064 wait4 S ? 0:00 squid -D 100 23 1982 1980 15 0 6220 4276 schedu S ? 0:00 (squid) -D 140 0 1986 1 15 0 2560 800 schedu S ? 0:00 atalkd -f / 000 23 1987 1982 16 0 1332 296 pipe_w S ? 0:00 (unlinkd) 040 27 1988 1904 15 0 27912 4216 schedu S ? 0:00 /usr/libexe 040 27 1989 1988 16 0 27912 4216 rt_sig S ? 0:00 /usr/libexe 140 0 1990 1 15 0 3616 1488 schedu S ? 0:00 smbd -D 140 0 1995 1 15 0 2612 1304 schedu S ? 0:00 nmbd -D 040 27 1996 1988 20 0 27912 4216 rt_sig S ? 0:00 /usr/libexe 040 0 1998 1995 17 0 2564 1040 pipe_w S ? 0:00 nmbd -D 100 53 2062 1 16 0 10468 2516 rt_sig S ? 0:00 /usr/sbin/n 100 0 2063 1 16 0 1344 376 schedu S tty1 0:00 /sbin/minge 100 0 2064 1 16 0 1344 376 schedu S tty2 0:00 /sbin/minge 100 0 2065 1 16 0 1344 376 schedu S tty3 0:00 /sbin/minge 040 53 2066 2062 15 0 10468 2516 schedu S ? 0:00 /usr/sbin/n 140 53 2067 2066 15 0 10468 2516 rt_sig S ? 0:00 /usr/sbin/n 040 53 2068 2066 15 0 10468 2516 schedu S ? 0:00 /usr/sbin/n 040 53 2069 2066 15 0 10468 2516 schedu S ? 0:00 /usr/sbin/n 040 0 2084 1 17 0 2516 696 schedu S ? 0:00 papd -f /et 140 0 2089 1 15 0 2804 980 schedu S ? 0:00 afpd -c 20 140 0 2093 1990 15 0 4024 1928 schedu S ? 0:00 smbd -D 140 0 2180 1 15 0 3564 1884 schedu S ? 0:00 /opt/trend/ 140 5003 2182 2180 15 0 3608 2160 semop S ? 0:00 /opt/trend/ 140 5003 2183 2180 15 0 3608 2160 semop S ? 0:00 /opt/trend/ 140 5003 2184 2180 18 0 3564 1884 semop S ? 0:00 /opt/trend/ 140 5003 2185 2180 15 0 3608 2156 semop S ? 0:00 /opt/trend/ 140 5003 2186 2180 15 0 3564 1884 schedu S ? 0:00 /opt/trend/ 140 0 2210 1 15 0 3500 2352 schedu S ? 0:00 /etc/iscan/ 140 5003 2211 2180 16 0 3564 1888 semop S ? 0:00 /opt/trend/ 140 5003 2219 2180 16 0 3564 1888 semop S ? 0:00 /opt/trend/ 140 101 2398 1828 16 0 6016 2808 semop S ? 0:00 /usr/sbin/h 140 101 2406 1828 15 0 5960 2756 semop S ? 0:00 /usr/sbin/h 040 0 2737 1673 15 0 3628 1792 schedu S ? 0:00 /usr/sbin/s 100 0 2738 2737 15 0 2440 1340 wait4 S pts/0 0:00 -bash 040 0 2847 1673 15 0 3532 1772 schedu S ? 0:00 /usr/sbin/s 100 0 2848 2847 15 0 2440 1340 schedu S pts/1 0:00 -bash 040 0 3095 1 15 0 13808 2136 schedu S ? 0:00 /etc/iscan/ 040 0 3096 3095 15 0 13808 2136 schedu S ? 0:00 /etc/iscan/ 040 0 3097 3096 15 0 13808 2136 schedu S ? 0:00 /etc/iscan/ 040 0 3098 3096 15 0 13808 2136 schedu S ? 0:00 /etc/iscan/ 040 0 3099 3096 20 0 13808 2136 pipe_w S ? 0:00 /etc/iscan/ 040 0 3100 3096 20 0 13808 2136 schedu S ? 0:00 /etc/iscan/ 140 0 3101 3095 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 140 0 3102 3095 15 0 29592 7856 schedu S ? 0:00 /etc/iscan/ 040 0 3103 3101 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 040 0 3104 3102 15 0 29592 7856 schedu S ? 0:00 /etc/iscan/ 040 0 3105 3096 15 0 13808 2136 rt_sig S ? 0:00 /etc/iscan/ 040 0 3106 3103 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 040 0 3107 3104 15 0 29592 7856 schedu S ? 0:00 /etc/iscan/ 040 0 3108 3103 15 0 34812 7996 rt_sig S ? 0:00 /etc/iscan/ 140 0 3109 3103 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 040 0 3110 3104 15 0 29592 7856 rt_sig S ? 0:00 /etc/iscan/ 140 0 3111 3104 15 0 29592 7856 schedu S ? 0:00 /etc/iscan/ 040 0 3112 3103 20 0 34812 7996 pause S ? 0:00 /etc/iscan/ 040 0 3113 3103 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 040 0 3114 3103 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 040 0 3115 3104 20 0 29592 7856 pause S ? 0:00 /etc/iscan/ 040 0 3116 3104 15 0 29592 7856 schedu S ? 0:00 /etc/iscan/ 040 0 3117 3104 15 0 29592 7856 schedu S ? 0:00 /etc/iscan/ 040 0 3194 3103 20 0 34812 7996 rt_sig S ? 0:00 /etc/iscan/ 040 0 3195 3103 15 0 34812 7996 schedu S ? 0:00 /etc/iscan/ 100 0 3201 2738 16 0 3108 1156 - R pts/0 0:00 ps -alx Je venais de lancer un ftp vers un serveur distant : 2 nouveaux processus ont été crées : 3194 et 3195 le ProcessId qui m'intéresse c'est dans ce cas le 3103 Voila !

par **tomtom** » 14 Mai 2003 16:03

as-tu essaye en bloquant le 3095 ? Je pense que ca devrait fonctionner.... Tom

par **stardust** » 14 Mai 2003 16:21

J'ai en effet essayé de prendre le premier processus (3095 dans l'exemple) et cela ne fonctionne pas. Je constate que le processus qui m'intéresse est toujours à premier pid + 8 : Dans mon exemple précédent : 3095 +8 = 3103. J'ai fait un stop sur le service isftp puis un start j'avais en premier le processus 2434. J'ai ajouté 8 soit 2442 et j'ai renseigné mon iptables : cela à fonctionné OK. Pour info cela n'a pas marché avec 2434. Il faut donc récupérer le premier processus et lui rajouté 8 pour obtenir mon processus à contrôler. Je travail là dessus ......... <IMG SRC="images/smiles/icon_wink.gif">

par **tomtom** » 14 Mai 2003 16:36

interscan_pid=$(expr `ps aux | grep iscan | grep -v grep | awk '{ printf("%d", $2); exit; }'` +

Ca te va ? Tom [edit] pour supprimer le smiley ! _________________ "Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie

par **stardust** » 14 Mai 2003 17:23

Presque, J'ai un message d'erreur iptables : iptables v1.2.5: Bad OWNER PID value `2448+8' Je suis plus très loin !! Encore un petit coup de pouce tom <IMG SRC="images/smiles/icon_wink.gif">

par **tomtom** » 14 Mai 2003 17:35

Hum, je suis etonné ! tu as fait un copier.coller dans une ligne de commande pour voir ? c bizarre serieux ! (tu as vu j'ai edite le message pour supprimer un espace et le n ! Tom

Scan FTP sur requêtes local (via console ou SSH)

Qui est en ligne ?