LiveBox Orange Pro : Tous les certificats sont deads …suite a une mise à jours ?!

Publié le 10/11/2020 par Frederic

Avec Orange c’est l’enfer, impossible de monter une architecture stable … toujours des problèmes.

Normalement j’ai un NAT vers une IP locale, et ce NAT fait que j’utilise le certificat mis sur l’IP locale.

Quand je fais sur l’IP publique :

openssl s_client -showcerts -connect 80.15.48.50:443
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 C = FR, O = Orange, CN = Orange Devices Generic27 CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
verify return:1
---
Certificate chain
 0 s:C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
   i:C = FR, O = Orange, CN = Orange Devices Generic27 CA

Au vue du nmap c’est la gateway qui a une mauvaise information :

nmap -p 443 --script ssl-cert my.cyber-neurones.org

Starting Nmap 7.60 ( https://nmap.org ) at 2020-11-10 10:33 CET
Nmap scan report for my.cyber-neurones.org (80.15.48.50)
Host is up (0.0013s latency).
rDNS record for 80.15.48.50: laubervilliers-658-1-140-50.w80-15.abo.wanadoo.fr

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=CCD42E-Livebox Fibre-JA20086CN001383/organizationName=Orange/countryName=FR
| Subject Alternative Name: IP Address:192.168.1.1, DNS:livebox
| Issuer: commonName=Orange Devices Generic27 CA/organizationName=Orange/countryName=FR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-02-24T10:42:58
| Not valid after:  2035-02-24T10:42:58
| MD5:   d286 3014 37db 5f61 3200 bc17 1d06 f386
|_SHA-1: 8d58 ba94 db74 2d01 ca2c a1bd bcef b792 a558 bed1

Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds

Par l’exterieur je n’ai pas de problème. C’est donc le DNS qui fait un mauvais routage :

# nmcli device show wlp64s0 | grep "IP4.DNS"
IP4.DNS[1]:                             80.10.246.2
IP4.DNS[2]:                             80.10.246.129

Quand je fais sur le nom de domaine (en local):

openssl s_client -showcerts -connect sat.cyber-neurones.org:443
CONNECTED(00000003)
depth=1 C = FR, O = Orange, CN = Orange Devices Generic27 CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
verify return:1
---
Certificate chain
 0 s:C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
   i:C = FR, O = Orange, CN = Orange Devices Generic27 CA
-----BEGIN CERTIFICATE-----

Quand je fais sur l’IP locale j’ai le bon certificat (pareil si je passe par l’exterieur):

openssl s_client -showcerts -connect 192.168.1.42:443
CONNECTED(00000003)
Can't use SSL_get_servername
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = sat.cyber-neurones.org
verify return:1
---
Certificate chain
 0 s:CN = sat.cyber-neurones.org
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

Voici l’erreur que j’ai :

$ curl https://sat.cyber-neurones.org:443
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Le probleme a commencé vers 02h du matin par surement un reboot de la livebox :

Nov 10 02:22:18 cyber-neurones kernel: [228577.565640] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:22:22 cyber-neurones kernel: [228582.503827] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:23 cyber-neurones kernel: [228582.603989] IPv6: ADDRCONF(NETDEV_UP): enp1s0: link is not ready
Nov 10 02:22:23 cyber-neurones kernel: [228582.810672] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:23 cyber-neurones kernel: [228582.911994] IPv6: ADDRCONF(NETDEV_UP): enp1s0: link is not ready
Nov 10 02:22:26 cyber-neurones kernel: [228586.152621] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:22:26 cyber-neurones kernel: [228586.152649] IPv6: ADDRCONF(NETDEV_CHANGE): enp1s0: link becomes ready
Nov 10 02:22:29 cyber-neurones kernel: [228588.543092] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:29 cyber-neurones kernel: [228588.644106] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:22:29 cyber-neurones kernel: [228588.801614] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:29 cyber-neurones kernel: [228588.903773] IPv6: ADDRCONF(NETDEV_UP): enp1s0: link is not ready
Nov 10 02:22:32 cyber-neurones kernel: [228591.795592] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:22:32 cyber-neurones kernel: [228591.795621] IPv6: ADDRCONF(NETDEV_CHANGE): enp1s0: link becomes ready
Nov 10 02:23:26 cyber-neurones kernel: [228646.209283] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:23:29 cyber-neurones kernel: [228649.207082] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:23:37 cyber-neurones kernel: [228656.568960] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:23:40 cyber-neurones kernel: [228660.165981] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:24:05 cyber-neurones kernel: [228684.699180] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:24:08 cyber-neurones kernel: [228687.606366] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx

Comment filtrer rapidement des IP qui attaquent via currentsetting.htm ( Faille de routeur Netgear)

Publié le 06/11/2020 par Frederic

Répondre

J’ai donc fait la commande :

cat /var/log/apache2/access.*.log | grep currentsetting.htm | awk '{print $1}' | sort -n | uniq -c | sort -n
      1 103.87.167.253
      1 113.160.229.252
      1 113.170.143.127
      1 123.201.235.83
      1 156.221.147.68
      1 171.236.213.49
      1 176.240.226.165
      1 202.90.133.210
      1 216.104.201.88

J’ai donc fait :

iptables -A INPUT -s 103.87.167.253  -j DROP
iptables -A INPUT -s 113.160.229.252  -j DROP
iptables -A INPUT -s 113.160.229.252  -j DROP
iptables -A INPUT -s 123.201.235.83  -j DROP
iptables -A INPUT -s 156.221.147.68  -j DROP
iptables -A INPUT -s 171.236.213.49  -j DROP
iptables -A INPUT -s 176.240.226.165  -j DROP
iptables -A INPUT -s 202.90.133.210  -j DROP
iptables -A INPUT -s 216.104.201.88  -j DROP

Un grand merci à Netgear de faire des failles qui nous permet ensuite de repérer les IP des hackers.

Misère.

Serveur de moins d’une semaine … déjà attaqué !

Publié le 04/11/2020 par Frederic

Répondre

Par qui ?

175.172.174.191 : CHINA UNICOM Liaoning province network (CN)
123.132.65.176 (via Ankit): China Unicom Shandong Province Network (CN)
103.145.13.43 (via libwww-perl/6.47) : CINTY EU WEB SOLUTIONS (NL)
175.21.153.128 (via Ankit) : China Unicom Jilin province network (CN)
178.63.34.189 (via http://mj12bot.com/) : Hetzner Online GmbH (DE)
74.120.14.36 (via https://about.censys.io/) : Censys, Inc. (MI)
34.240.212.8 (via https://developer.twingly.com) : Amazon (Irland)
167.248.133.52 (via CensysInspect/1.1; +https://about.censys.io/) : Censys, Inc. (MI)
162.142.125.52 (via CensysInspect/1.1; +https://about.censys.io/) : Censys, Inc. (MI)
197.53.220.102 : (EG : Egypte)
134.209.87.169 : (NY : New York : United States)
66.151.211.226 : (DE : : United States)

Je vous conseille donc de faire ceci après une nouvelle installation :

iptables -A INPUT -s 175.172.174.191  -j DROP
iptables -A INPUT -s 123.132.65.176 -j DROP
iptables -A INPUT -s 103.145.13.43  -j DROP
iptables -A INPUT -s 175.21.153.128  -j DROP
iptables -A INPUT -s 178.63.34.189  -j DROP
iptables -A INPUT -s 74.120.14.36  -j DROP
iptables -A INPUT -s 34.240.212.8  -j DROP
iptables -A INPUT -s 167.248.133.52  -j DROP
iptables -A INPUT -s 162.142.125.52  -j DROP
iptables -A INPUT -s 197.53.220.102  -j DROP
iptables -A INPUT -s 134.209.87.169  -j DROP
iptables -A INPUT -s 66.151.211.226  -j DROP

bref il me faut trouver un projet qui bloque via un script toutes les IP de Chine.

Misère.

J’ai eu 64 IP différentes :
# cat /var/log/apache2/access.*.log | awk ‘{print $1}’ | sort -n | uniq -c | sort -n | wc -l
64

Don à Let’s Encrypt : Fait !

Publié le 02/11/2020 par Frederic

Répondre

L’url pour le don : https://letsencrypt.org/donate/ .

Pour que le service puisse continuer il faut donner !

Frédéric.

CyberNeurones !

Sports, Informations locales, Open Source, Consom'acteur, Trekking.

Archives de catégorie : Sécurité

LiveBox Orange Pro : Tous les certificats sont deads …suite a une mise à jours ?!

J’aime ça :

Comment filtrer rapidement des IP qui attaquent via currentsetting.htm ( Faille de routeur Netgear)

J’aime ça :

Serveur de moins d’une semaine … déjà attaqué !

J’aime ça :

Don à Let’s Encrypt : Fait !

J’aime ça :