On Monday 13 May 2002 20:18, Pierre Maitre wrote: > 16:07:58.878887 eth0 < stationmn.1031 > sbee.com.1239: udp 79
Port 79... -> finger. Quelqu'un cherche à obtenir la liste des utilisateurs connectés. Désactive finger dans la config de ton système : /etc/services & (x)inetd.conf > autrement dit ce sbee.com se met à communiquer avec un de mes PC (appelé > stationmn) sous windows. Ah..., finger tourne sous W* ? Ou alors ton PC W* a été hacker et il existe une backdor sur le port 79... ? > Plus inquiétant encore, le site www.sbee.com ne contient qu'un mot: > "bleh" Oui, et il (prétend) tourner sous Linux, Apache 1.3.22... > Ma config "familiale": > un serveur linux (RH 7.0) appelé "station0" relié sur internet avec un > modem isdn, et qui me sert de station de travail (graphique) personnelle > (je sens déjà que Marc Schaeffer va me dire qu'on ne met que le minimum > sur une machine reliée à Internet, mais bon, j'ai déjà trop de machines > qui tournent dans mon appartement, je peux pas encore rajouter une > machine juste pour le firewall...). Tu peux déjà fermer plein de port du côté de ton interface ISDN. Tu pourais même presque tout fermer en "listen". Soit avec iptables, soit avec une config firewall... fournie par RH ? EN SuSe tu peux activer un "personnal firewall" fournit en standard avec la distrib. Je suppose que RH possède la même fonctionalité... non ? > J'ai installé vmware (et j'en ai besoin), qui m'a malheureusement > ouvert plein de ports udp à l'installation. > Le DNS est installé sur ma station de travail. > Ipchains tourne pour que les autres ordinateurs puissent accéder à > internet par ma station de travail. > Un portable linux est client de ma station de travail, et me sert comme > place de backup > Deux PC windows 98 sont aussi clients. Avec ipchains, ferme les ports externes et le services non indispensables. > J'ai 3 questions: > a) comment m'assurer que monsieur sbee.com est un intru et essaye de > bricoler chez moi (je n'ai rien remarqué d'anormal autrement, et grep -r > sbee.com /var/log/* ne donne rien ) En ne filtrant que les paquets (contenu) udp avec sbee.com. Il semble qu'aucun port ne soit accèder... > b) comment m'en débarasser ou lui interdire l'accès (j'ai pas encore > tout compris avec ipchains ...) Oui, c'est bien avec ipchains que tu peux le bloquer. Si tu as un kernel 2.4, utilise plutôt iptables. Il y a un très bon bouquin de Robert Ziegler à ce sujet. Ce type est une référence dans ce domaine et il a un bouquin pour ipchains et un autre pour iptables. > c) comment rendre mon système plus sûr sans rajouter un ordinateur > dédicacé au firewall Disons qu'une bonne politique de "firewall" soft sur ta machine est déjà une bonne barrière. Il y a ensuite plein de niveaux suplémentaires à disposition suivant ton degré de paranoïa :-) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
