OVH Community, your new community space.

Requetes DNS bizarres juste apres l'installation


Burps
02/06/2015, 17h45
Bingo !!!

C'est effectivement des tentatives d'accès en ssh.

Merci janus57

janus57
02/06/2015, 15h22
Bonjour,

que donne :
Code:
dpkg -l
Sinon déjà rien que SSH est capable de faire des appels DNS sur une IP entrante qui tente une connexion.

Suffit de comparer les logs SSH avec le syslog et regarder si y a une corrélation avec une IP chinoise qui fait du bruteforce.

Cordialement, janus57

Burps
02/06/2015, 14h48
Ce qui est surprenant, c'est que je n'ai rien installé, pas de fail2ban,, etc.

Code:
root@ks1:~# ps ax
  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:02 /sbin/init
    2 ?        S      0:00 [kthreadd]
    3 ?        S      0:00 [ksoftirqd/0]
    5 ?        S<     0:00 [kworker/0:0H]
    7 ?        S      0:00 [rcu_sched]
    8 ?        S      0:00 [rcu_bh]
    9 ?        S      0:00 [migration/0]
   10 ?        S      0:00 [watchdog/0]
   11 ?        S      0:00 [watchdog/1]
   12 ?        S      0:00 [migration/1]
   13 ?        S      0:00 [ksoftirqd/1]
   15 ?        S<     0:00 [kworker/1:0H]
   16 ?        S      0:00 [watchdog/2]
   17 ?        S      0:00 [migration/2]
   18 ?        S      0:00 [ksoftirqd/2]
   20 ?        S<     0:00 [kworker/2:0H]
   21 ?        S      0:00 [watchdog/3]
   22 ?        S      0:00 [migration/3]
   23 ?        S      0:00 [ksoftirqd/3]
   25 ?        S<     0:00 [kworker/3:0H]
   26 ?        S<     0:00 [khelper]
   27 ?        S      0:00 [kdevtmpfs]
   28 ?        S<     0:00 [netns]
   29 ?        S      0:00 [khungtaskd]
   30 ?        S<     0:00 [writeback]
   31 ?        SN     0:00 [ksmd]
   32 ?        SN     0:00 [khugepaged]
   33 ?        S<     0:00 [crypto]
   34 ?        S<     0:00 [kintegrityd]
   35 ?        S<     0:00 [bioset]
   36 ?        S<     0:00 [kblockd]
   37 ?        S      0:00 [kworker/0:1]
   38 ?        S      0:01 [kworker/1:1]
   39 ?        S      0:00 [kswapd0]
   40 ?        S      0:00 [fsnotify_mark]
   46 ?        S<     0:00 [kthrotld]
   48 ?        S<     0:00 [ipv6_addrconf]
   50 ?        S<     0:00 [deferwq]
   91 ?        S      0:00 [khubd]
   92 ?        S<     0:00 [ata_sff]
   93 ?        S      0:00 [scsi_eh_0]
   94 ?        S<     0:00 [scsi_tmf_0]
   95 ?        S      0:00 [scsi_eh_1]
   96 ?        S<     0:00 [scsi_tmf_1]
   97 ?        S      0:00 [scsi_eh_2]
   98 ?        S<     0:00 [scsi_tmf_2]
   99 ?        S      0:00 [scsi_eh_3]
  100 ?        S<     0:00 [scsi_tmf_3]
  101 ?        S      0:00 [kworker/u8:2]
  102 ?        S      0:00 [kworker/u8:3]
  107 ?        S<     0:00 [kworker/3:1H]
  108 ?        S<     0:00 [kworker/2:1H]
  109 ?        S<     0:00 [kworker/0:1H]
  110 ?        S<     0:00 [kworker/1:1H]
  165 ?        S<     0:00 [md]
  170 ?        S<     0:00 [raid5wq]
  218 ?        S<     0:00 [bioset]
  237 ?        S      0:00 [jbd2/sda2-8]
  238 ?        S<     0:00 [ext4-rsv-conver]
  269 ?        S      0:00 [kauditd]
  274 ?        Ss     0:01 /lib/systemd/systemd-journald
  277 ?        S      0:00 [kworker/3:2]
  279 ?        Ss     0:00 /lib/systemd/systemd-udevd
  321 ?        S<     0:00 [kpsmoused]
  361 ?        S      0:00 [kworker/1:2]
  369 ?        S<     0:00 [kdmflush]
  370 ?        S<     0:00 [bioset]
  372 ?        S<     0:00 [kdmflush]
  373 ?        S<     0:00 [bioset]
  375 ?        S<     0:00 [kdmflush]
  376 ?        S<     0:00 [bioset]
  378 ?        S<     0:00 [kdmflush]
  379 ?        S<     0:00 [bioset]
  442 ?        S      0:00 [jbd2/dm-2-8]
  443 ?        S<     0:00 [ext4-rsv-conver]
  445 ?        S      0:00 [jbd2/dm-1-8]
  446 ?        S<     0:00 [ext4-rsv-conver]
  450 ?        S      0:00 [jbd2/dm-3-8]
  451 ?        S<     0:00 [ext4-rsv-conver]
  454 ?        S      0:00 [jbd2/dm-0-8]
  455 ?        S<     0:00 [ext4-rsv-conver]
  457 ?        S      0:00 [jbd2/sda1-8]
  458 ?        S<     0:00 [ext4-rsv-conver]
  717 ?        Ss     0:00 /usr/sbin/cron -f
  718 ?        Ssl    0:00 /usr/sbin/named -f -u bind
  719 ?        Ss     0:00 /usr/sbin/sshd -D
  720 ?        Ss     0:00 /usr/sbin/smartd -n
  731 ?        Ssl    0:00 /usr/sbin/rsyslogd -n
  732 ?        Ss     0:00 /usr/sbin/acpid
  754 tty6     Ss+    0:00 /sbin/agetty --noclear tty6 linux
  755 tty5     Ss+    0:00 /sbin/agetty --noclear tty5 linux
  756 ?        Ss     0:00 sshd: root@pts/0    
  757 tty4     Ss+    0:00 /sbin/agetty --noclear tty4 linux
  758 ?        Ss     0:04 /usr/sbin/irqbalance --pid=/var/run/irqbalance.pid
  759 tty3     Ss+    0:00 /sbin/agetty --noclear tty3 linux
  760 tty2     Ss+    0:00 /sbin/agetty --noclear tty2 linux
  761 tty1     Ss+    0:00 /sbin/agetty --noclear tty1 linux
  780 pts/0    Ss     0:00 -bash
  784 pts/0    S+     0:00 tail -200f /var/log/syslog
 1613 ?        S      0:04 [kworker/2:0]
 1706 ?        Ss     0:00 sshd: root@pts/1    
 1708 pts/1    Ss     0:00 -bash
 2081 ?        S      0:01 [kworker/0:0]
 2176 ?        S      0:00 [kworker/2:1]
 2177 ?        S      0:01 [kworker/3:0]
13778 pts/1    R+     0:00 ps ax
root@ks1:~#
Je pense que par curiosité, je vais refaire l'install...

janus57
02/06/2015, 12h52
Bonjour,

si vous avez un fail2ban ou autre logiciel qui fait de la résolution de NDD c'est normale que votre KS va chercher à comprendre si derrière l'ip se trouve un reverse.

Sinon sans plus d'infos sur votre installe je dirais que c'est normale dans le sens ou c'est sans doute des robots.

Cordialement, janus57

Burps
02/06/2015, 10h20
Bonjour,

J'ai installé une KS-1 toute fraiche, en Debian Jessie. Je n'ai encore installé aucun paquet, j'ai juste lancé un "tail -f /var/log/syslog", en attendant de trouver le temps de m'occuper de cette machine.

Et là, j'ai trouvé des choses bizarres (selon moi) :
Code:
May 28 11:32:35 ks1 named[1345]: success resolving 'ns.hetsptt.net.cn/A' (in 'hetsptt.net.cn'?) after reducing the advertised EDNS UDP packet size to 512 octets
May 28 11:32:35 ks1 named[1345]: success resolving 'ns.hesjptt.net.cn/AAAA' (in 'hesjptt.net.cn'?) after reducing the advertised EDNS UDP packet size to 512 octets
May 28 11:37:23 ks1 named[1345]: success resolving 'ns2.cnmobile.net/A' (in 'cnmobile.net'?) after reducing the advertised EDNS UDP packet size to 512 octets
Alors attention, ce que je trouve bizarre, ca n'est pas le " after reducing the advertised EDNS UDP packet size", mais bien le fait qu'un process cherche à résoudre du .cn alors que je n'ai rien installé sur mon serveur.

Est-ce que je suis le seul à m'en inquiéter ? ai-je tort ? Auriez-vous une explication à ces requetes DNS qui me rassurerait ? j'ai demandé à Google si ces 3 domaines lui disaient quelquechose, rien d'intéressant n'est en sorti...

Merci de votre aide

Edit : j'avais pas vu que mon message initial avait passé la modération, on peut supprimer celui-ci, merci