il m'est arrivé une expérience un peu stressante aujourd'hui avec un PC
sous SuSE 9.1.
En lançant un netstat, je me rends compte par hasard que le port 34413
est en écoute sur toutes les interfaces. Cherchant à avoir quel
processus l'a ouvert, je lance un lsof -i.
Aucune trace d'un tel processus.
Je découvre alors que netstat a une option pour afficher le processus
(-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de
m'afficher un nom de processus comme pour tous les autres ports ouverts,
m'affiche un simple tiret ("-").
En faisant un telnet sur ce port, en local ou à partir d'une autre
machine, j'obtient une connection mais dès que j'envoie le moindre octet
la connection se termine.
Les connections ainsi établies (avant l'envoi d'un octet) ne sont pas
reportées par netstat ni lsof.
De plus en plus desemparé, je télecharge chkrootkit, qui ne signale
aucun problème.
En desespoir de cause, je redemarre la machine. Depuis, plus aucun signe
de ce port fantôme.
Est-ce qu'un tel phénomène est déjà arrivé à quelqu'un ?
Comment vérifier la prochaine fois que j'observe cela que cela n'a pas
de lien avec une intrusion?
--
Olivier
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pierre LALET
Je découvre alors que netstat a une option pour afficher le processus (-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de m'afficher un nom de processus comme pour tous les autres ports ouverts, m'affiche un simple tiret ("-").
Au cas où, il faut savoit que l'option -p de netstat sous Linux nécessite d'être root pour afficher le PID et le nom du programme appartenant à des utilisateurs quelconques. Si tu n'es pas root, tu ne peux voir que les informations relatives à des programmes que tu as lancés.
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Je découvre alors que netstat a une option pour afficher le processus
(-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de
m'afficher un nom de processus comme pour tous les autres ports ouverts,
m'affiche un simple tiret ("-").
Au cas où, il faut savoit que l'option -p de netstat sous Linux
nécessite d'être root pour afficher le PID et le nom du programme
appartenant à des utilisateurs quelconques. Si tu n'es pas root, tu ne
peux voir que les informations relatives à des programmes que tu as lancés.
pierre
--
Pierre LALET
http://pierre.droids-corp.org/
Droids Corporation & Team rstack
French Honeynet Project
Je découvre alors que netstat a une option pour afficher le processus (-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de m'afficher un nom de processus comme pour tous les autres ports ouverts, m'affiche un simple tiret ("-").
Au cas où, il faut savoit que l'option -p de netstat sous Linux nécessite d'être root pour afficher le PID et le nom du programme appartenant à des utilisateurs quelconques. Si tu n'es pas root, tu ne peux voir que les informations relatives à des programmes que tu as lancés.
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Michel Arboi
On Thu Nov 18 2004 at 19:45, Olivier Croquette wrote:
En lançant un netstat, je me rends compte par hasard que le port 34413 est en écoute sur toutes les interfaces. Cherchant à avoir quel processus l'a ouvert, je lance un lsof -i. Aucune trace d'un tel processus. Je découvre alors que netstat a une option pour afficher le processus (-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de m'afficher un nom de processus comme pour tous les autres ports ouverts, m'affiche un simple tiret ("-").
Chez moi, j'ai entre autres le port 1313 ouvert qui présente les mêmes caractéristiques. fuser 1313/tcp dénonce le coupable : xinetd.
Comment vérifier la prochaine fois que j'observe cela que cela n'a pas de lien avec une intrusion?
On Thu Nov 18 2004 at 19:45, Olivier Croquette wrote:
En lançant un netstat, je me rends compte par hasard que le port 34413
est en écoute sur toutes les interfaces. Cherchant à avoir quel
processus l'a ouvert, je lance un lsof -i.
Aucune trace d'un tel processus.
Je découvre alors que netstat a une option pour afficher le processus
(-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de
m'afficher un nom de processus comme pour tous les autres ports ouverts,
m'affiche un simple tiret ("-").
Chez moi, j'ai entre autres le port 1313 ouvert qui présente les mêmes
caractéristiques. fuser 1313/tcp dénonce le coupable : xinetd.
Comment vérifier la prochaine fois que j'observe cela que cela n'a pas
de lien avec une intrusion?
On Thu Nov 18 2004 at 19:45, Olivier Croquette wrote:
En lançant un netstat, je me rends compte par hasard que le port 34413 est en écoute sur toutes les interfaces. Cherchant à avoir quel processus l'a ouvert, je lance un lsof -i. Aucune trace d'un tel processus. Je découvre alors que netstat a une option pour afficher le processus (-p si je rappelle bien), mais là aussi, chou blanc: netstat, au lieu de m'afficher un nom de processus comme pour tous les autres ports ouverts, m'affiche un simple tiret ("-").
Chez moi, j'ai entre autres le port 1313 ouvert qui présente les mêmes caractéristiques. fuser 1313/tcp dénonce le coupable : xinetd.
Comment vérifier la prochaine fois que j'observe cela que cela n'a pas de lien avec une intrusion?
