Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Intrusion: savoir à quoi correspond un port ouvert

17 réponses
Avatar
Luxpopuli Open source
------=_Part_4903_8851867.1203254128266
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,

J'ai manifestement un probl=E8me d'intrusion et quelqu'un lance, =E0 partir=
de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont r=E9alis=E9es depuis ma machine.

Pour ne pas avoir de probl=E8mes avec mon FAI qui m'a =E9galement envoy=E9 =
un mail
me mena=E7ant de "faire le n=E9cessaire" (!) si je ne r=E9solvais pas le pr=
obl=E8me,
j'ai commenc=E9 par supprimer tous les packages li=E9s =E0 SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r=E9soudre d=E9finitivement le probl=E8me. Mais est-ce si s=
=FBr ?!

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais r=E9soudre ce premier point:

j'ai lanc=E9 un scan de tous les ports de ma machine avec nmapfe. La comman=
de
=E9quivalente lanc=E9e est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la r=E9ponse renvoy=E9e je peux lire ceci:

=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D

Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=3D4.53%I=3D7%D=3D2/17%Time=3D47B830B8%P=3Di686-pc-linux-=
gnu%r(RPC
SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2,
SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro
SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r
SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=3D4.53%D=3D2/17%OT=3D25%CT=3D1%CU=3D43223%PV=3DN%DS=3D0%G=3DY%TM=
=3D47B830D8%P=3Di686-
OS:pc-linux-gnu)SEQ(SP=3DC2%GCD=3D1%ISR=3DC6%TI=3DZ%II=3DI%TS=3DA)OPS(O1=3D=
M400CST11NW7%O
OS:2=3DM400CST11NW7%O3=3DM400CNNT11NW7%O4=3DM400CST11NW7%O5=3DM400CST11NW7%=
O6=3DM400C
OS:ST11)WIN(W1=3D8000%W2=3D8000%W3=3D8000%W4=3D8000%W5=3D8000%W6=3D8000)ECN=
(R=3DY%DF=3DY%T=3D
OS:40%W=3D8018%O=3DM400CNNSNW7%CC=3DN%Q=3D)T1(R=3DY%DF=3DY%T=3D40%S=3DO%A=
=3DS+%F=3DAS%RD=3D0%Q=3D)T
OS:2(R=3DN)T3(R=3DY%DF=3DY%T=3D40%W=3D8000%S=3DO%A=3DS+%F=3DAS%O=3DM400CST1=
1NW7%RD=3D0%Q=3D)T4(R=3D
OS:Y%DF=3DY%T=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%RD=3D0%Q=3D)T5(R=3DY%DF=3DY=
%T=3D40%W=3D0%S=3DZ%A=3DS+%F=3DA
OS:R%O=3D%RD=3D0%Q=3D)T6(R=3DY%DF=3DY%T=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%R=
D=3D0%Q=3D)T7(R=3DY%DF=3DY%T=3D4
OS:0%W=3D0%S=3DZ%A=3DS+%F=3DAR%O=3D%RD=3D0%Q=3D)U1(R=3DY%DF=3DN%T=3D40%TOS=
=3DC0%IPL=3D164%UN=3D0%RIPL
OS:=3DG%RID=3DG%RIPCK=3DG%RUCK=3DG%RUL=3DG%RUD=3DG)IE(R=3DY%DFI=3DN%T=3D40%=
TOSI=3DS%CD=3DS%SI=3DS%D
OS:LI=3DS)

=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D

Ce port 28011 n'est pas mentionn=E9 dans /etc/services (sinon il ne serait =
pas
r=E9f=E9renc=E9 comme "unknown").

Comment ou que dois-je faire pour avoir des informations sur ce ports ? Que=
l
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... =
?

Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:

7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ? A quel service est-il li=E9 et puis-je l=
e
stopper ?

Je vous remercie pour votre aide

Pascal




--=20
http://www.luxpopuli.fr - documentation de eZ Publish traduite en fran=E7ai=
s

------=_Part_4903_8851867.1203254128266
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<p>Bonjour,</p><p>J&#39;ai manifestement un probl=E8me d&#39;intrusion et q=
uelqu&#39;un lance, =E0 partir de ma machine, des attaques SSH. Au moins de=
ux personnes (une aux USA l&#39;autre en espagne) m&#39;ont fait parvenir d=
es logs prouvant que des tentatives de connection SSH sont r=E9alis=E9es de=
puis ma machine.</p>
<p>Pour ne pas avoir de probl=E8mes avec mon FAI qui m&#39;a =E9galement en=
voy=E9 un mail me mena=E7ant de &quot;faire le n=E9cessaire&quot; (!) si je=
ne r=E9solvais pas le probl=E8me, j&#39;ai commenc=E9 par supprimer tous l=
es packages li=E9s =E0 SSH</p>
<p>Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un pr=
emier, temps r=E9soudre d=E9finitivement le probl=E8me. Mais est-ce si s<sp=
an>=FBr ?!</span></p><p>Avant de comprendre comment remttre en fonctionneme=
nt un client et un serveur SSH sur ma machine, je voudrais r=E9soudre ce pr=
emier point:</p>
<p>j&#39;ai lanc=E9 un scan de tous les ports de ma machine avec nmapfe. La=
commande =E9quivalente lanc=E9e est:</p><p>nmap -sS -sR -sV -O -p- -PI -PT=
-vv <a href=3D"http://82.67.66.131">82.67.66.131</a></p><p>Dans la r=E9pon=
se renvoy=E9e je peux lire ceci:</p>
<p>=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D</p><p>Di=
scovered open port 28011/tcp on <a href=3D"http://82.67.66.131">82.67.66.13=
1</a><br>28011/tcp open unknown<br>1 service unrecognized despite returnin=
g data. If you know the service/version, please submit the following finger=
print at <a href=3D"http://www.insecure.org/cgi-bin/servicefp-submit.cgi">h=
ttp://www.insecure.org/cgi-bin/servicefp-submit.cgi</a> :<br>
SF-Port28011-TCP:V=3D4.53%I=3D7%D=3D2/17%Time=3D47B830B8%P=3Di686-pc-linux-=
gnu%r(RPC<br>SF:Check,2,&quot;\x05\0&quot;)%r(DNSVersionBindReq,2,&quot;\x0=
5\0&quot;)%r(DNSStatusRequest,2,<br>SF:&quot;\x05\0&quot;)%r(SSLSessionReq,=
2,&quot;\x05\0&quot;)%r(SMBProgNeg,2,&quot;\x05\0&quot;)%r(X11Pro<br>
SF:be,2,&quot;\x05\0&quot;)%r(LDAPBindReq,2,&quot;\x05\0&quot;)%r(TerminalS=
erver,2,&quot;\x05\0&quot;)%r<br>SF:(NotesRPC,2,&quot;\x05\0&quot;)%r(WMSRe=
quest,2,&quot;\x05\0&quot;);<br>Device type: general purpose<br>Running: Li=
nux 2.6.X<br>
OS details: Linux 2.6.17 - 2.6.21<br>OS Fingerprint:<br>OS:SCAN(V=3D4.53%D=
=3D2/17%OT=3D25%CT=3D1%CU=3D43223%PV=3DN%DS=3D0%G=3DY%TM=3D47B830D8%P=3Di68=
6-<br>OS:pc-linux-gnu)SEQ(SP=3DC2%GCD=3D1%ISR=3DC6%TI=3DZ%II=3DI%TS=3DA)OPS=
(O1=3DM400CST11NW7%O<br>OS:2=3DM400CST11NW7%O3=3DM400CNNT11NW7%O4=3DM400CST=
11NW7%O5=3DM400CST11NW7%O6=3DM400C<br>
OS:ST11)WIN(W1=3D8000%W2=3D8000%W3=3D8000%W4=3D8000%W5=3D8000%W6=3D8000)ECN=
(R=3DY%DF=3DY%T=3D<br>OS:40%W=3D8018%O=3DM400CNNSNW7%CC=3DN%Q=3D)T1(R=3DY%D=
F=3DY%T=3D40%S=3DO%A=3DS+%F=3DAS%RD=3D0%Q=3D)T<br>OS:2(R=3DN)T3(R=3DY%DF=3D=
Y%T=3D40%W=3D8000%S=3DO%A=3DS+%F=3DAS%O=3DM400CST11NW7%RD=3D0%Q=3D)T4(R=3D<=
br>
OS:Y%DF=3DY%T=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%RD=3D0%Q=3D)T5(R=3DY%DF=3DY=
%T=3D40%W=3D0%S=3DZ%A=3DS+%F=3DA<br>OS:R%O=3D%RD=3D0%Q=3D)T6(R=3DY%DF=3DY%T=
=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%RD=3D0%Q=3D)T7(R=3DY%DF=3DY%T=3D4<br>OS:=
0%W=3D0%S=3DZ%A=3DS+%F=3DAR%O=3D%RD=3D0%Q=3D)U1(R=3DY%DF=3DN%T=3D40%TOS=3DC=
0%IPL=3D164%UN=3D0%RIPL<br>
OS:=3DG%RID=3DG%RIPCK=3DG%RUCK=3DG%RUL=3DG%RUD=3DG)IE(R=3DY%DFI=3DN%T=3D40%=
TOSI=3DS%CD=3DS%SI=3DS%D<br>OS:LI=3DS)</p><p>=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D</p><p>Ce port 28011 n&#39;est pas mention=
n=E9 dans /etc/services (sinon il ne serait pas r=E9f=E9renc=E9 comme &quot=
;unknown&quot;).</p>
<p>Comment ou que dois-je faire pour avoir des informations sur ce ports ? =
Quel logiciel l&#39;ouvre, depuis quand, pour faire quoi, comment le fermer=
, etc... ?</p><p>Un autre port est ouvert: le 7741 dont voici la signalisat=
ion par nmap:</p>
<p>7741/tcp open tcpwrapped</p><p>Qu&#39;est-ce donc que ce tcpwrapped ? =
A quel service est-il li=E9 et puis-je le stopper ?</p><p></p><p>Je vous re=
mercie pour votre aide</p><p>Pascal</p><p><br><br></p><p></p><br>-- <br><a =
href=3D"http://www.luxpopuli.fr">http://www.luxpopuli.fr</a> - documentatio=
n de eZ Publish traduite en fran=E7ais

------=_Part_4903_8851867.1203254128266--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

10 réponses

1 2
Avatar
Nicolas KOWALSKI
"Luxpopuli Open source" writes:

Bonjour,



Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à
partir de ma machine, des attaques SSH. Au moins deux personnes (une
aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant
que des tentatives de connection SSH sont réalisées depuis ma
machine.



D'expérience, ta machine est "foutue", et devra très probablement être
réinstallée.

Je te conseillerais ceci, sans la rebooter:

- la couper du réseau de suite, afin d'éviter qu'elle continue à
lancer des attaques ; débrancher le câble me parait opportun.

- sauvegarder tes données.

[optionnel: prendre une image de la/des partitions système, pour
analyse post-mortem éventuelle,]

- réinstaller de zéro et récupérer tes données.

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans
un premier, temps résoudre définitivement le problème. Mais est-ce
si sûr ?!



Non, c'est très loin d'être sûr.

Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne
serait pas référencé comme "unknown").



lsof t'indiquera quel programme écoute sur ce port.

--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
fra-duf-no-spam
Le 13926ième jour après Epoch,
Luxpopuli Open écrivait:

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à   partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également e nvoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvai s pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH



L'idéal est plutôt de déconnecter ta machine du réseau, le temps de
nettoyer tout ça.

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais e st-ce si
sûr ?!



Rien n'est moins sûr. En général, les "scripts" servant à   cracker les
autres machines embarquent des versions de SSH qui leur sont
propres. Tu peux laisser ssh (client et serveur) sur ta machine, mais
il faut que tu nettoies le reste.

[...]
28011/tcp open unknown


[...]
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne se rait pas
référencé comme "unknown").

Comment ou que dois-je faire pour avoir des informations sur ce ports ? Q uel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?



Tu peux essayer avec "netstat -putana|grep 28011", mais il y a toutes
les chances que ça ne t'apporte rien, les bons kits se camouflent
eux-même en modifiant la commande netstat, ainsi que tout plein
d'autres commandes (ls, md5sum, ssh, etc...)

Tu peux toutefois essayer de:

- Monter une machine équivalente à côté pour comparer l e md5sum des
binaires en question

- Booter sur un live-cd pour "regarder" ta machine et remplacer les
binaires qui auraient pû être infectés

- Sauvegarder toutes tes "données" et réinstaller

Sache qu'il sera important pour toi de savoir par où l'intrus est
passé, pour éviter de recommencer la même histoire. Une inje ction SQL,
un trou PHP, un accès ftp associé à un serveur web, etc...

Bon courage :)
Avatar
François Boisson
Le Sun, 17 Feb 2008 14:15:28 +0100
"Luxpopuli Open source" a écrit:

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:




Tu devrais faire un chkrootkit et chercher les processus caché (installe
cacheproc
http://boisson.homeip.net/debian/pool/etch/i386/cacheproc_1.0-2_i386.deb

et tape en su

# chercheprocess
ou
# regarde

Tu verras le processus cachés et la ligne de commande. Sans doute un truc
genre suckIT ou autre. Le ssh n'est pas celui de ta machine bien sûr...


François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
mouss
Luxpopuli Open source wrote:
Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!




pas vraiment. de deux choses l'une:
- ta machine est "possédée" (own3d). la, le pirate utilise ses propres
softs. il peut remplacer tous les binaires qu'il veut. par exemple, il
peut remplacer "ls" par une commande qui fait autre chose si on lui
passe une option secrète... Dans ce cas, pas grand chose à faire que de
réinstaller la machine. si tu récupères des données dessus attention à
ne pas remettre n'importe quoi après reinstallation.

- un compte user a été pirtaé. mais une fois un compte piraté, devenir
root devient une possibilité (se rappeler la vulnérabilité récente du
kernel...). franchement, ce n'est pas la peine de perdre son temps avec
cette hypothèse.

- attaque à distance: utilisation d'une faiblesse de l'un des services
qui tournent sur ta machine. un "open proxy" par exemple, ou un service
web mal conçu ou mal sécurisé, ... etc.

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:

j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande
équivalente lancée est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la réponse renvoyée je peux lire ceci:

==================== >
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pro
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")%r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i686-
OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W1€00%W2€00%W3€00%W4€00%W5€00%W6€00)ECN(R=Y%DF=Y%T > OS:40%W€18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W€00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R > OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOSÀ%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@%TOSI=S%CD=S%SI=S%D
OS:LI=S)

==================== >
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
référencé comme "unknown").




jabber.
http://www.haypocalc.com/wiki/Liste_des_ports_TCP_et_UDP
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?




si c'est vraiment jabber, bein arrête le. mais regarde si ce n'est pas
un programme malveillant. utilise lsof par exemple.

Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:




LISa.
http://linux.softpedia.com/get/System/Networking/LISa-14180.shtml

7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ?



ça veut dire que nmap "pense" que ce service est protégér par "tcp
wrappers" (qui implémentent des controles d'accès, en gros
/etc/hosts.allow...).

A quel service est-il lié et puis-je le
stopper ?

Je vous remercie pour votre aide






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Luxpopuli Open source
------=_Part_5107_11282029.1203257669656
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci pour toutes vos réponses pas forcément réjouissante ! ;-)

La commande:

lsof -i

me renvoie tout ce qu'il faut. A propos du port 28011:

gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)

A propos du port 7741:

lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741

Il s'agit de ce service:
http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.rese" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.rese au.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror

Petite question: est-ce que lsof -i me permettrait de découvrir un servic e
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstal ler
ma machine ?

Pascal

Le 17/02/08, Luxpopuli Open source a écrit :

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à part ir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autr e
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pa s le
problème, j'ai commencé par supprimer tous les packages liés à SS H

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:

j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
commande équivalente lancée est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la réponse renvoyée je peux lire ceci:

=====================

Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linu x-gnu%r(RPC
SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest,2 ,
SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11Pr o
SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 ")% r
SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=
4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8 %P=i686-

OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS(O1 =M400CST11NW7%O

OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW 7%O6=M400C

OS:ST11)WIN(W100%W200%W300%W400%W500%W600)E CN(R=Y%DF=Y%T=

OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A =S+%F=AS%RD=0%Q=)T

OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400CS T11NW7%RD=0%Q=)T4(R=

OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A

OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O= %RD=0%Q=)T7(R=Y%DF=Y%T=4

OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TO S%IPL4%UN=0%RIPL

OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=4 0%TOSI=S%CD=S%SI=S%D
OS:LI=S)

=====================

Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serai t
pas référencé comme "unknown").

Comment ou que dois-je faire pour avoir des informations sur ce ports ?
Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?

Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:

7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le
stopper ?

Je vous remercie pour votre aide

Pascal




--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais







--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai s

------=_Part_5107_11282029.1203257669656
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<p>Merci pour toutes vos réponses pas forcément réjouissante ! ;-)</p ><p>La commande:<br></p><p>lsof -i</p><p>me renvoie tout ce qu&#39;il faut. A propos du port 28011:</p><p>gajim.py 3204 pascal 23u IPv4 1425 8 TCP www.linuxorable.net:55983-&gt;a226.anywise.com:xmpp-client (EST ABLISHED)<br>
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net :52648-&gt;jabber.mwsp.net:xmpp-client (ESTABLISHED)<br>gajim.py 3204 p ascal 25u IPv4 472242 TCP www.linuxorable.net:39766-&gt;<a href ="http://80.248.214.47:5223">80.248.214.47:5223</a&gt; (ESTABLISHED)<br>
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)<br ></p><p>A propos du port 7741:<br></p><p>lisa 2557 root 4u IP v4 4857 TCP *:7741 (LISTEN)<br>lisa 2557 root 5u IP v4 5088 UDP *:7741<br>
<br>Il s&#39;agit de ce service: <a href="http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj /inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html">http://www. linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.li sa.html</a><br>
J&#39;apprends à la lecture de cet article qu&#39;on accède à l&#39;a ide avec &quot;help:/lisa&quot; tapé dans la barre d&#39;URL de konqueror </p><p>Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d&#39;envisager de réinstaller ma machine ?</p>
<p>Pascal</p><br><div><span class="gmail_quote">Le 17/02/08, <b class=" gmail_sendername">Luxpopuli Open source</b> &lt;<a href="mailto:luxpopuli "></a>&gt; a écrit :</span><blockquote c lass="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #c cc solid;padding-left:1ex">
<p>Bonjour,</p><p>J&#39;ai manifestement un problème d&#39;intrusion et q uelqu&#39;un lance, à partir de ma machine, des attaques SSH. Au moins de ux personnes (une aux USA l&#39;autre en espagne) m&#39;ont fait parvenir d es logs prouvant que des tentatives de connection SSH sont réalisées de puis ma machine.</p>

<p>Pour ne pas avoir de problèmes avec mon FAI qui m&#39;a également en voyé un mail me menaçant de &quot;faire le nécessaire&quot; (!) si je ne résolvais pas le problème, j&#39;ai commencé par supprimer tous l es packages liés à SSH</p>

<p>Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un pr emier, temps résoudre définitivement le problème. Mais est-ce si s<sp an>ûr ?!</span></p><p>Avant de comprendre comment remttre en fonctionneme nt un client et un serveur SSH sur ma machine, je voudrais résoudre ce pr emier point:</p>

<p>j&#39;ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est:</p><p>nmap -sS -sR -sV -O -p- -PI -PT -vv <a href="http://82.67.66.131&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://82.67.66.131&quot; target="_blank" onclick="return to p.js.OpenExtLink(window,event,this)">82.67.66.131</a></p>
<p>Dans la réponse renvoyée je peux lire ceci:</p>
<p>=====================</p><p>Di scovered open port 28011/tcp on <a href="http://82.67.66.131&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://82.67.66.131&quot; target="_ blank" onclick="return top.js.OpenExtLink(window,event,this)">82.67.66.13 1</a><br>28011/tcp open unknown<br>1 service unrecognized despite returnin g data. If you know the service/version, please submit the following finger print at <a href="http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi" t arget="_blank" onclick="return top.js.OpenExtLink(window,event,this)">h ttp://www.insecure.org/cgi-bin/servicefp-submit.cgi</a> :<br>

SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux- gnu%r(RPC<br>SF:Check,2,&quot;x05 &quot;)%r(DNSVersionBindReq,2,&quot;x0 5 &quot;)%r(DNSStatusRequest,2,<br>SF:&quot;x05 &quot;)%r(SSLSessionReq, 2,&quot;x05 &quot;)%r(SMBProgNeg,2,&quot;x05 &quot;)%r(X11Pro<br>

SF:be,2,&quot;x05 &quot;)%r(LDAPBindReq,2,&quot;x05 &quot;)%r(TerminalS erver,2,&quot;x05 &quot;)%r<br>SF:(NotesRPC,2,&quot;x05 &quot;)%r(WMSRe quest,2,&quot;x05 &quot;);<br>Device type: general purpose<br>Running: Li nux 2.6.X<br>

OS details: Linux 2.6.17 - 2.6.21<br>OS Fingerprint:<br>OS:SCAN(V=4.53%D =2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i68 6-<br>OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS (O1=M400CST11NW7%O<br>OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST 11NW7%O5=M400CST11NW7%O6=M400C<br>

OS:ST11)WIN(W100%W200%W300%W400%W500%W600)ECN (R=Y%DF=Y%T=<br>OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%D F=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T<br>OS:2(R=N)T3(R=Y%DF= Y%T@%W00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=< br>

OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y %T@%W=0%S=Z%A=S+%F=A<br>OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T @%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4<br>OS: 0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOS=C 0%IPL4%UN=0%RIPL<br>

OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@% TOSI=S%CD=S%SI=S%D<br>OS:LI=S)</p><p>========== ===========</p><p>Ce port 28011 n&#39;est pas mention né dans /etc/services (sinon il ne serait pas référencé comme &quot ;unknown&quot;).</p>

<p>Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l&#39;ouvre, depuis quand, pour faire quoi, comment le fermer , etc... ?</p><p>Un autre port est ouvert: le 7741 dont voici la signalisat ion par nmap:</p>

<p>7741/tcp open tcpwrapped</p><p>Qu&#39;est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ?</p><p>Je vous remercie pour votre aide</p><p>Pascal</p><span class="sg"><p><br><br></p><br>-- <b r>
<a href="http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" onclick="return top .js.OpenExtLink(window,event,this)">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr</a> - documenta tion de eZ Publish traduite en français
</span></blockquote></div><br><br clear="all"><br>-- <br><a href="http: //www.luxpopuli.fr">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr</a> - documentation de eZ Publi sh traduite en français

------=_Part_5107_11282029.1203257669656--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Luxpopuli Open source
------=_Part_5127_5825495.1203258338664
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Me confirmez-vous que la personne qui utilise ma machine pour lancer ses
attaques SSH ouvre forcément un port ?
Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du p ort
22

Si elle ouvre forcément un port je peux toujours contrôler fréquemmen t les
ports utilisés avec lsof -i

Pour l'instant, cette commande ne me renvoie que des services connus. J'en
conclus que actuellement ma machine n'est pas utilisée par l'intru. Ai-je
raison de penser cela ?

Pascal

Le 17/02/08, Luxpopuli Open source a écrit :

Merci pour toutes vos réponses pas forcément réjouissante ! ;-)

La commande:

lsof -i

me renvoie tout ce qu'il faut. A propos du port 28011:

gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)

A propos du port 7741:

lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741

Il s'agit de ce service:
http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re seau.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror

Petite question: est-ce que lsof -i me permettrait de découvrir un serv ice
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinst aller
ma machine ?

Pascal

Le 17/02/08, Luxpopuli Open source a écrit :
>
> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à pa rtir
> de ma machine, des attaques SSH. Au moins deux personnes (une aux USA
> l'autre en espagne) m'ont fait parvenir des logs prouvant que des tenta tives
> de connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
> mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le
> problème, j'ai commencé par supprimer tous les packages liés à SSH
>
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce s i sûr
> ?!
>
> Avant de comprendre comment remttre en fonctionnement un client et un
> serveur SSH sur ma machine, je voudrais résoudre ce premier point:
>
> j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
> commande équivalente lancée est:
>
> nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
>
> Dans la réponse renvoyée je peux lire ceci:
>
> =====================
>
> Discovered open port 28011/tcp on 82.67.66.131
> 28011/tcp open unknown
> 1 service unrecognized despite returning data. If you know the
> service/version, please submit the following fingerprint at
> http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
> SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-li nux-gnu%r
> (RPC
>
> SF:Check,2,"x05 ")%r(DNSVersionBindReq,2,"x05 ")%r(DNSStatusRequest ,2,
>
> SF:"x05 ")%r(SSLSessionReq,2,"x05 ")%r(SMBProgNeg,2,"x05 ")%r(X11 Pro
>
> SF:be,2,"x05 ")%r(LDAPBindReq,2,"x05 ")%r(TerminalServer,2,"x05 " )%r
> SF:(NotesRPC,2,"x05 ")%r(WMSRequest,2,"x05 ");
> Device type: general purpose
> Running: Linux 2.6.X
> OS details: Linux 2.6.17 - 2.6.21
> OS Fingerprint:
> OS:SCAN(V=
> 4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830 D8%P=i686-
>
> OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS(O 1=M400CST11NW7%O
>
> OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11 NW7%O6=M400C
>
> OS:ST11)WIN(W100%W200%W300%W400%W500%W600 )ECN(R=Y%DF=Y%T=
>
> OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O %A=S+%F=AS%RD=0%Q=)T
>
> OS:2(R=N)T3(R=Y%DF=Y%T@%W00%S=O%A=S+%F=AS%O=M400 CST11NW7%RD=0%Q=)T4(R=
>
> OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A
>
> OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O =%RD=0%Q=)T7(R=Y%DF=Y%T=4
>
> OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@% TOS%IPL4%UN=0%RIPL
>
> OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T @%TOSI=S%CD=S%SI=S%D
> OS:LI=S)
>
> =====================
>
> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne ser ait
> pas référencé comme "unknown").
>
> Comment ou que dois-je faire pour avoir des informations sur ce ports ?
> Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer ,
> etc... ?
>
> Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
>
> 7741/tcp open tcpwrapped
>
> Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis- je
> le stopper ?
>
> Je vous remercie pour votre aide
>
> Pascal
>
>
>
>
> --
> http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en
> français




--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais







--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai s

------=_Part_5127_5825495.1203258338664
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<p>Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ?<br>Dans les logs que l&#39;on m&# 39;a fait parvenir il s&#39;agissait à chaque fois du port 22<br></p><p>S i elle ouvre forcément un port je peux toujours contr<span>ôler fréqu emment les ports utilisés avec lsof -i</span></p>
<p>Pour l&#39;instant, cette commande ne me renvoie que des services connus . J&#39;en conclus que actuellement ma machine n&#39;est pas utilisée par l&#39;intru. Ai-je raison de penser cela ?</p><p>Pascal</p><br><div><span class="gmail_quote">Le 17/02/08, <b class="gmail_sendername">Luxpopuli Open source</b> &lt;<a href="mailto:"> ail.com</a>&gt; a écrit :</span><blockquote class="gmail_quote" style ="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex" >
<p>Merci pour toutes vos réponses pas forcément réjouissante ! ;-)</p ><p>La commande:<br></p><p>lsof -i</p><p>me renvoie tout ce qu&#39;il faut. A propos du port 28011:</p><p>gajim.py 3204 pascal 23u IPv4 1425 8 TCP www.linuxorable.net:55983-&gt;a226.anywise.com:xmpp-client (EST ABLISHED)<br>

gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net :52648-&gt;jabber.mwsp.net:xmpp-client (ESTABLISHED)<br>gajim.py 3204 p ascal 25u IPv4 472242 TCP www.linuxorable.net:39766-&gt;<a href ="http://80.248.214.47:5223&quot; target="_blank" onclick="return top.js.O penExtLink(window,event,this)">80.248.214.47:5223</a> (ESTABLISHED)<br>

gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)<br ></p><p>A propos du port 7741:<br></p><p>lisa 2557 root 4u IP v4 4857 TCP *:7741 (LISTEN)<br>lisa 2557 root 5u IP v4 5088 UDP *:7741<br>

<br>Il s&#39;agit de ce service: <a href="http://www.linux-france.org/prj" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.linux-france.org/prj /inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html" target="_ blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www. linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.li sa.html</a><br>

J&#39;apprends à la lecture de cet article qu&#39;on accède à l&#39;a ide avec &quot;help:/lisa&quot; tapé dans la barre d&#39;URL de konqueror </p><p>Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d&#39;envisager de réinstaller ma machine ?</p>

<p>Pascal</p><br><div><span class="gmail_quote">Le 17/02/08, <b class=" gmail_sendername">Luxpopuli Open source</b> &lt;<a href="mailto:luxpopuli " target="_blank" onclick="return top.js.OpenExtLink(window ,event,this)"></a>&gt; a écrit :</span><div>
<span class="e" id="q_11827bef784faf62_1"><blockquote class="gmail_qu ote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding -left:1ex">
<p>Bonjour,</p><p>J&#39;ai manifestement un problème d&#39;intrusion et q uelqu&#39;un lance, à partir de ma machine, des attaques SSH. Au moins de ux personnes (une aux USA l&#39;autre en espagne) m&#39;ont fait parvenir d es logs prouvant que des tentatives de connection SSH sont réalisées de puis ma machine.</p>


<p>Pour ne pas avoir de problèmes avec mon FAI qui m&#39;a également en voyé un mail me menaçant de &quot;faire le nécessaire&quot; (!) si je ne résolvais pas le problème, j&#39;ai commencé par supprimer tous l es packages liés à SSH</p>


<p>Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un pr emier, temps résoudre définitivement le problème. Mais est-ce si s<sp an>ûr ?!</span></p><p>Avant de comprendre comment remttre en fonctionneme nt un client et un serveur SSH sur ma machine, je voudrais résoudre ce pr emier point:</p>


<p>j&#39;ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est:</p><p>nmap -sS -sR -sV -O -p- -PI -PT -vv <a href="http://82.67.66.131&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://82.67.66.131&quot; target="_blank" onclick="return to p.js.OpenExtLink(window,event,this)">82.67.66.131</a></p>

<p>Dans la réponse renvoyée je peux lire ceci:</p>
<p>=====================</p><p>Di scovered open port 28011/tcp on <a href="http://82.67.66.131&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://82.67.66.131&quot; target="_ blank" onclick="return top.js.OpenExtLink(window,event,this)">82.67.66.13 1</a><br>28011/tcp open unknown<br>1 service unrecognized despite returnin g data. If you know the service/version, please submit the following finger print at <a href="http://www.insecure.org/cgi-bin/servicefp-submit.cgi" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.insecure.org/cgi-bin/servicefp-submit.cgi" t arget="_blank" onclick="return top.js.OpenExtLink(window,event,this)">h ttp://www.insecure.org/cgi-bin/servicefp-submit.cgi</a> :<br>


SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux- gnu%r(RPC<br>SF:Check,2,&quot;x05 &quot;)%r(DNSVersionBindReq,2,&quot;x0 5 &quot;)%r(DNSStatusRequest,2,<br>SF:&quot;x05 &quot;)%r(SSLSessionReq, 2,&quot;x05 &quot;)%r(SMBProgNeg,2,&quot;x05 &quot;)%r(X11Pro<br>


SF:be,2,&quot;x05 &quot;)%r(LDAPBindReq,2,&quot;x05 &quot;)%r(TerminalS erver,2,&quot;x05 &quot;)%r<br>SF:(NotesRPC,2,&quot;x05 &quot;)%r(WMSRe quest,2,&quot;x05 &quot;);<br>Device type: general purpose<br>Running: Li nux 2.6.X<br>


OS details: Linux 2.6.17 - 2.6.21<br>OS Fingerprint:<br>OS:SCAN(V=4.53%D =2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i68 6-<br>OS:pc-linux-gnu)SEQ(SP%GCD=1%ISR%TI=Z%II=I%TS=A)OPS (O1=M400CST11NW7%O<br>OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST 11NW7%O5=M400CST11NW7%O6=M400C<br>


OS:ST11)WIN(W100%W200%W300%W400%W500%W600)ECN (R=Y%DF=Y%T=<br>OS:40%W18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%D F=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T<br>OS:2(R=N)T3(R=Y%DF= Y%T@%W00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=< br>


OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y %T@%W=0%S=Z%A=S+%F=A<br>OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T @%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4<br>OS: 0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOS=C 0%IPL4%UN=0%RIPL<br>


OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@% TOSI=S%CD=S%SI=S%D<br>OS:LI=S)</p><p>========== ===========</p><p>Ce port 28011 n&#39;est pas mention né dans /etc/services (sinon il ne serait pas référencé comme &quot ;unknown&quot;).</p>


<p>Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l&#39;ouvre, depuis quand, pour faire quoi, comment le fermer , etc... ?</p><p>Un autre port est ouvert: le 7741 dont voici la signalisat ion par nmap:</p>


<p>7741/tcp open tcpwrapped</p><p>Qu&#39;est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ?</p><p>Je vous remercie pour votre aide</p><p>Pascal</p><span><p><br><br></p><br>-- <br>
<a href="http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" onclick="return top .js.OpenExtLink(window,event,this)">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr</a> - documenta tion de eZ Publish traduite en français
</span></blockquote></span></div></div><div><span class="e" id="q_11827 bef784faf62_3"><br><br clear="all"><br>-- <br><a href="http://www.luxpo puli.fr" target="_blank" onclick="return top.js.OpenExtLink(window,even t,this)">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr</a> - documentation de eZ Publish traduite en français
</span></div></blockquote></div><br><br clear="all"><br>-- <br><a href= "http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr</a> - documentation de eZ Publish traduite en français

------=_Part_5127_5825495.1203258338664--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Jean-Michel OLTRA
Bonjour,


Le dimanche 17 février 2008, Luxpopuli Open source a écrit...


Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
?!



Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant de
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera sain
après tes analyses et tes purges éventuelles. La méthode la plus sûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Luxpopuli Open source
------=_Part_5135_12736736.1203258899249
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour Jean-Michel,

J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:

http://www.linuxorable.fr/tmp/rkhunter.log

http://www.linuxorable.fr/tmp/chkrootkit.log

Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant d ans
ces logs.

Pascal

Le 17/02/08, Jean-Michel OLTRA a écrit :


Bonjour,


Le dimanche 17 février 2008, Luxpopuli Open source a écrit...


> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
> ?!

Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant d e
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera s ain
après tes analyses et tes purges éventuelles. La méthode la plus s ûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact







--
http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai s

------=_Part_5135_12736736.1203258899249
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<p>Bonjour Jean-Michel,</p><p>J&#39;ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le résultat des logs est ici:</p><p><a href="http://www.linuxorable.fr/tmp/rkhunter.log">http://www.linuxorable. fr/tmp/rkhunter.log</a></p>
<p><a href="http://www.linuxorable.fr/tmp/chkrootkit.log">http://www.linu xorable.fr/tmp/chkrootkit.log</a></p><p>Je ne suis pas du tout un expert ma is je n&#39;ai rien détecté d&#39;alarmant dans ces logs.</p><p></p><p> Pascal</p>
<br><div><span class="gmail_quote">Le 17/02/08, <b class="gmail_sendern ame">Jean-Michel OLTRA</b> &lt;<a href="mailto: e.net"></a>&gt; a écrit :</span><blockquot e class="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>&nbsp;&nbsp;&nbsp;&nbsp;Bonjour,<br><br><br>Le dimanche 17 février 20 08, Luxpopuli Open source a écrit...<br><br><br>&gt; Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un<br>&gt; premier, temps r soudre d finitivement le probl me. Mais est-ce si s r<br>
&gt; ?!<br><br>Je souscris aux différentes réponses précédentes. Tu peux tenter un<br>chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant de<br>réinstaller. Mais bon, il ne sera jamais sûr que ton système sera sain<br>
après tes analyses et tes purges éventuelles. La méthode la plus sû re<br>reste la réinstallation. Je crois que F. Boisson a également un<b r>utilitaire qui permet de traquer les processus indélicats.<br><br>--<br >jm<br><br>
A.E.L. Sarl (R.C.S CASTRES 490843240)<br><a href="http://www.spidboutic.f r">http://www.spidboutic.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.spidboutic.fr</a><br><br><br><br>--<br>Lisez la FAQ de la lis te avant de poser une question :<br><a href="http://wiki.debian.net/?Debi anFrench">http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench</a><br>
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et<br>&quot;Reply-To:&quot;<br><br>To UNSUBSCRIBE, email to <a href ="mailto:">debian-user-french- </a><br>
with a subject of &quot;unsubscribe&quot;. Trouble? Contact <a href="mail to:"></a><br><br></bl ockquote></div><br><br clear="all"><br>-- <br><a href="http://www.luxpo puli.fr">http://www.luxpopuli.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.luxpopuli.fr</a> - documentation de eZ Publish traduite en français

------=_Part_5135_12736736.1203258899249--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
François Boisson
Le Sun, 17 Feb 2008 15:34:59 +0100
"Luxpopuli Open source" a écrit:

Bonjour Jean-Michel,

J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:

http://www.linuxorable.fr/tmp/rkhunter.log

http://www.linuxorable.fr/tmp/chkrootkit.log

Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans
ces logs.




Une bonne méthode est de faire ces commandes pour voir les fichiers corrompus:

$ cd /tmp
$ cat /var/lib/dpkg/info/*.md5sums | sort -u > MD5-ORG
$ cd /
$ cat /tmp/MD5-ORG | awk '{print "md5sum "$2}' | grep -v -E "^md5sum *$" > /tmp/gre
$ sh /tmp/gre > /tmp/MD5
$ cd /tmp
$ diff -urN MD5-ORG MD5

Tu auras la liste des fichiers différent de ceux des paquets installés.

François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Jean-Michel OLTRA
Bonjour,


Le dimanche 17 février 2008, Luxpopuli Open source a écrit...


Merci pour toutes vos r ponses pas forc ment r jouissante ! ;-)



La commande:



lsof -i



Tu ne peux te fier à aucun binaire de ta machine. Il te faut utiliser
des binaires non corrompus, pour ce faire. Donc, inutile de lancer un
netstat, ou lsof, ou fuser, ou n'importe quoi pour faire un diagnostic.
Sauf si le binaire est sûr.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
1 2