Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à
partir de ma machine, des attaques SSH. Au moins deux personnes (une
aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant
que des tentatives de connection SSH sont réalisées depuis ma
machine.
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans
un premier, temps résoudre définitivement le problème. Mais est-ce
si sûr ?!
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne
serait pas référencé comme "unknown").
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à
partir de ma machine, des attaques SSH. Au moins deux personnes (une
aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant
que des tentatives de connection SSH sont réalisées depuis ma
machine.
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans
un premier, temps résoudre définitivement le problème. Mais est-ce
si sûr ?!
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne
serait pas référencé comme "unknown").
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à
partir de ma machine, des attaques SSH. Au moins deux personnes (une
aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant
que des tentatives de connection SSH sont réalisées depuis ma
machine.
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans
un premier, temps résoudre définitivement le problème. Mais est-ce
si sûr ?!
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne
serait pas référencé comme "unknown").
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également e nvoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvai s pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais e st-ce si
sûr ?!
28011/tcp open unknown
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne se rait pas
référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Q uel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également e nvoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvai s pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais e st-ce si
sûr ?!
28011/tcp open unknown
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne se rait pas
référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Q uel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également e nvoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvai s pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais e st-ce si
sûr ?!
28011/tcp open unknown
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne se rait pas
référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Q uel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande
équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
==================== >
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pro
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")%r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i686-
OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W100%W200%W300%W400%W500%W600)ECN(R=Y%DF=Y%T > OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R > OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOSÀ%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@%TOSI=S%CD=S%SI=S%D
OS:LI=S)
==================== >
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ?
A quel service est-il lié et puis-je le
stopper ?
Je vous remercie pour votre aide
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande
équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
==================== >
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pro
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")%r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i686-
OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W100%W200%W300%W400%W500%W600)ECN(R=Y%DF=Y%T > OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R > OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOSÀ%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@%TOSI=S%CD=S%SI=S%D
OS:LI=S)
==================== >
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ?
A quel service est-il lié et puis-je le
stopper ?
Je vous remercie pour votre aide
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande
équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
==================== >
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pro
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")%r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i686-
OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W100%W200%W300%W400%W500%W600)ECN(R=Y%DF=Y%T > OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R > OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOSÀ%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@%TOSI=S%CD=S%SI=S%D
OS:LI=S)
==================== >
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ?
A quel service est-il lié et puis-je le
stopper ?
Je vous remercie pour votre aide
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à part ir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autr e
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pa s le
problème, j'ai commencé par supprimer tous les packages liés à SS H
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
commande équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
=====================
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linu x-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2 ,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pr o
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")% r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=
4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8 %P=i686-
OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS(O1 =M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW 7%O6=M400C
OS:ST11)WIN(W100%W200%W300%W400%W500%W600)E CN(R=Y%DF=Y%T=
OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A =S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400CS T11NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O= %RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TO S%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=4 0%TOSI=S%CD=S%SI=S%D
OS:LI=S)
=====================
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serai t
pas référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ?
Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le
stopper ?
Je vous remercie pour votre aide
Pascal
--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à part ir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autr e
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pa s le
problème, j'ai commencé par supprimer tous les packages liés à SS H
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
commande équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
=====================
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linu x-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2 ,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pr o
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")% r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=
4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8 %P=i686-
OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1 =M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW 7%O6=M400C
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)E CN(R=Y%DF=Y%T=
OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A =S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CS T11NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T=40%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O= %RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TO S=C0%IPL=164%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=4 0%TOSI=S%CD=S%SI=S%D
OS:LI=S)
=====================
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serai t
pas référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ?
Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le
stopper ?
Je vous remercie pour votre aide
Pascal
--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à part ir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autr e
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pa s le
problème, j'ai commencé par supprimer tous les packages liés à SS H
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
commande équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
=====================
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linu x-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2 ,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pr o
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")% r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=
4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8 %P=i686-
OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS(O1 =M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW 7%O6=M400C
OS:ST11)WIN(W100%W200%W300%W400%W500%W600)E CN(R=Y%DF=Y%T=
OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A =S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400CS T11NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O= %RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TO S%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=4 0%TOSI=S%CD=S%SI=S%D
OS:LI=S)
=====================
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serai t
pas référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ?
Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le
stopper ?
Je vous remercie pour votre aide
Pascal
--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais
Merci pour toutes vos réponses pas forcément réjouissante ! ;-)
La commande:
lsof -i
me renvoie tout ce qu'il faut. A propos du port 28011:
gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)
A propos du port 7741:
lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741
Il s'agit de ce service:
http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re seau.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror
Petite question: est-ce que lsof -i me permettrait de découvrir un serv ice
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinst aller
ma machine ?
Pascal
Le 17/02/08, Luxpopuli Open source a écrit :
>
> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à pa rtir
> de ma machine, des attaques SSH. Au moins deux personnes (une aux USA
> l'autre en espagne) m'ont fait parvenir des logs prouvant que des tenta tives
> de connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
> mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le
> problème, j'ai commencé par supprimer tous les packages liés à SSH
>
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce s i sûr
> ?!
>
> Avant de comprendre comment remttre en fonctionnement un client et un
> serveur SSH sur ma machine, je voudrais résoudre ce premier point:
>
> j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
> commande équivalente lancée est:
>
> nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
>
> Dans la réponse renvoyée je peux lire ceci:
>
> =====================
>
> Discovered open port 28011/tcp on 82.67.66.131
> 28011/tcp open unknown
> 1 service unrecognized despite returning data. If you know the
> service/version, please submit the following fingerprint at
> http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
> SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-li nux-gnu%r
> (RPC
>
> SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest ,2,
>
> SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11 Pro
>
> SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 " )%r
> SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
> Device type: general purpose
> Running: Linux 2.6.X
> OS details: Linux 2.6.17 - 2.6.21
> OS Fingerprint:
> OS:SCAN(V=
> 4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830 D8%P=i686-
>
> OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS(O 1=M400CST11NW7%O
>
> OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11 NW7%O6=M400C
>
> OS:ST11)WIN(W100%W200%W300%W400%W500%W600 )ECN(R=Y%DF=Y%T=
>
> OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O %A=S+%F=AS%RD=0%Q=)T
>
> OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400 CST11NW7%RD=0%Q=)T4(R=
>
> OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A
>
> OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O =%RD=0%Q=)T7(R=Y%DF=Y%T=4
>
> OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@% TOS%IPL4%UN=0%RIPL
>
> OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T @%TOSI=S%CD=S%SI=S%D
> OS:LI=S)
>
> =====================
>
> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne ser ait
> pas référencé comme "unknown").
>
> Comment ou que dois-je faire pour avoir des informations sur ce ports ?
> Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer ,
> etc... ?
>
> Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
>
> 7741/tcp open tcpwrapped
>
> Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis- je
> le stopper ?
>
> Je vous remercie pour votre aide
>
> Pascal
>
>
>
>
> --
> http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en
> français
--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais
Merci pour toutes vos réponses pas forcément réjouissante ! ;-)
La commande:
lsof -i
me renvoie tout ce qu'il faut. A propos du port 28011:
gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)
A propos du port 7741:
lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741
Il s'agit de ce service:
http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re seau.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror
Petite question: est-ce que lsof -i me permettrait de découvrir un serv ice
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinst aller
ma machine ?
Pascal
Le 17/02/08, Luxpopuli Open source <luxpopuli07@gmail.com> a écrit :
>
> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à pa rtir
> de ma machine, des attaques SSH. Au moins deux personnes (une aux USA
> l'autre en espagne) m'ont fait parvenir des logs prouvant que des tenta tives
> de connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
> mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le
> problème, j'ai commencé par supprimer tous les packages liés à SSH
>
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce s i sûr
> ?!
>
> Avant de comprendre comment remttre en fonctionnement un client et un
> serveur SSH sur ma machine, je voudrais résoudre ce premier point:
>
> j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
> commande équivalente lancée est:
>
> nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
>
> Dans la réponse renvoyée je peux lire ceci:
>
> =====================
>
> Discovered open port 28011/tcp on 82.67.66.131
> 28011/tcp open unknown
> 1 service unrecognized despite returning data. If you know the
> service/version, please submit the following fingerprint at
> http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
> SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-li nux-gnu%r
> (RPC
>
> SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest ,2,
>
> SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11 Pro
>
> SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 " )%r
> SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
> Device type: general purpose
> Running: Linux 2.6.X
> OS details: Linux 2.6.17 - 2.6.21
> OS Fingerprint:
> OS:SCAN(V=
> 4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830 D8%P=i686-
>
> OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O 1=M400CST11NW7%O
>
> OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11 NW7%O6=M400C
>
> OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000 )ECN(R=Y%DF=Y%T=
>
> OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O %A=S+%F=AS%RD=0%Q=)T
>
> OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400 CST11NW7%RD=0%Q=)T4(R=
>
> OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T=40%W=0%S=Z%A=S+%F=A
>
> OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O =%RD=0%Q=)T7(R=Y%DF=Y%T=4
>
> OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40% TOS=C0%IPL=164%UN=0%RIPL
>
> OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T =40%TOSI=S%CD=S%SI=S%D
> OS:LI=S)
>
> =====================
>
> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne ser ait
> pas référencé comme "unknown").
>
> Comment ou que dois-je faire pour avoir des informations sur ce ports ?
> Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer ,
> etc... ?
>
> Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
>
> 7741/tcp open tcpwrapped
>
> Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis- je
> le stopper ?
>
> Je vous remercie pour votre aide
>
> Pascal
>
>
>
>
> --
> http://www.luxpopuli.fr - documentation de eZ Publish traduite en
> français
--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais
Merci pour toutes vos réponses pas forcément réjouissante ! ;-)
La commande:
lsof -i
me renvoie tout ce qu'il faut. A propos du port 28011:
gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)
A propos du port 7741:
lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741
Il s'agit de ce service:
http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re seau.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror
Petite question: est-ce que lsof -i me permettrait de découvrir un serv ice
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinst aller
ma machine ?
Pascal
Le 17/02/08, Luxpopuli Open source a écrit :
>
> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à pa rtir
> de ma machine, des attaques SSH. Au moins deux personnes (une aux USA
> l'autre en espagne) m'ont fait parvenir des logs prouvant que des tenta tives
> de connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
> mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le
> problème, j'ai commencé par supprimer tous les packages liés à SSH
>
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce s i sûr
> ?!
>
> Avant de comprendre comment remttre en fonctionnement un client et un
> serveur SSH sur ma machine, je voudrais résoudre ce premier point:
>
> j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
> commande équivalente lancée est:
>
> nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
>
> Dans la réponse renvoyée je peux lire ceci:
>
> =====================
>
> Discovered open port 28011/tcp on 82.67.66.131
> 28011/tcp open unknown
> 1 service unrecognized despite returning data. If you know the
> service/version, please submit the following fingerprint at
> http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
> SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-li nux-gnu%r
> (RPC
>
> SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest ,2,
>
> SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11 Pro
>
> SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 " )%r
> SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
> Device type: general purpose
> Running: Linux 2.6.X
> OS details: Linux 2.6.17 - 2.6.21
> OS Fingerprint:
> OS:SCAN(V=
> 4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830 D8%P=i686-
>
> OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS(O 1=M400CST11NW7%O
>
> OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11 NW7%O6=M400C
>
> OS:ST11)WIN(W100%W200%W300%W400%W500%W600 )ECN(R=Y%DF=Y%T=
>
> OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O %A=S+%F=AS%RD=0%Q=)T
>
> OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400 CST11NW7%RD=0%Q=)T4(R=
>
> OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A
>
> OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O =%RD=0%Q=)T7(R=Y%DF=Y%T=4
>
> OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@% TOS%IPL4%UN=0%RIPL
>
> OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T @%TOSI=S%CD=S%SI=S%D
> OS:LI=S)
>
> =====================
>
> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne ser ait
> pas référencé comme "unknown").
>
> Comment ou que dois-je faire pour avoir des informations sur ce ports ?
> Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer ,
> etc... ?
>
> Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
>
> 7741/tcp open tcpwrapped
>
> Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis- je
> le stopper ?
>
> Je vous remercie pour votre aide
>
> Pascal
>
>
>
>
> --
> http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en
> français
--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
?!
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
?!
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
?!
Bonjour,
Le dimanche 17 février 2008, Luxpopuli Open source a écrit...
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
> ?!
Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant d e
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera s ain
après tes analyses et tes purges éventuelles. La méthode la plus s ûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.
--
jm
A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.spidboutic.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Le dimanche 17 février 2008, Luxpopuli Open source a écrit...
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
> ?!
Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant d e
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera s ain
après tes analyses et tes purges éventuelles. La méthode la plus s ûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.
--
jm
A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Bonjour,
Le dimanche 17 février 2008, Luxpopuli Open source a écrit...
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
> ?!
Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant d e
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera s ain
après tes analyses et tes purges éventuelles. La méthode la plus s ûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.
--
jm
A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.spidboutic.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Bonjour Jean-Michel,
J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:
http://www.linuxorable.fr/tmp/rkhunter.log
http://www.linuxorable.fr/tmp/chkrootkit.log
Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans
ces logs.
Bonjour Jean-Michel,
J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:
http://www.linuxorable.fr/tmp/rkhunter.log
http://www.linuxorable.fr/tmp/chkrootkit.log
Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans
ces logs.
Bonjour Jean-Michel,
J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:
http://www.linuxorable.fr/tmp/rkhunter.log
http://www.linuxorable.fr/tmp/chkrootkit.log
Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans
ces logs.
Merci pour toutes vos r ponses pas forc ment r jouissante ! ;-)
La commande:
lsof -i
Merci pour toutes vos r ponses pas forc ment r jouissante ! ;-)
La commande:
lsof -i
Merci pour toutes vos r ponses pas forc ment r jouissante ! ;-)
La commande:
lsof -i