Intrusion: savoir à quoi correspond un port ouvert
Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de faire le nécessaire (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Avant de comprendre comment remttre en fonctionnement un client et un serveur SSH sur ma machine, je voudrais résoudre ce premier point: j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est: nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131 Dans la réponse renvoyée je peux lire ceci: = Discovered open port 28011/tcp on 82.67.66.131 28011/tcp open unknown 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r(RPC SF:Check,2,\x05\0)%r(DNSVersionBindReq,2,\x05\0)%r(DNSStatusRequest,2, SF:\x05\0)%r(SSLSessionReq,2,\x05\0)%r(SMBProgNeg,2,\x05\0)%r(X11Pro SF:be,2,\x05\0)%r(LDAPBindReq,2,\x05\0)%r(TerminalServer,2,\x05\0)%r SF:(NotesRPC,2,\x05\0)%r(WMSRequest,2,\x05\0); Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.17 - 2.6.21 OS Fingerprint: OS:SCAN(V=4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686- OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T= OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R= OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4 OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D OS:LI=S) = Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme unknown). Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ? Un autre port est ouvert: le 7741 dont voici la signalisation par nmap: 7741/tcp open tcpwrapped Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ? Je vous remercie pour votre aide Pascal -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français
Re: Intrusion: savoir à quoi correspond un port ouvert
Le 13926ième jour après Epoch, Luxpopuli Open écrivait: Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de faire le nécessaire (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH L'idéal est plutôt de déconnecter ta machine du réseau, le temps de nettoyer tout ça. Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Rien n'est moins sûr. En général, les scripts servant à cracker les autres machines embarquent des versions de SSH qui leur sont propres. Tu peux laisser ssh (client et serveur) sur ta machine, mais il faut que tu nettoies le reste. [...] 28011/tcp open unknown [...] Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme unknown). Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ? Tu peux essayer avec netstat -putana|grep 28011, mais il y a toutes les chances que ça ne t'apporte rien, les bons kits se camouflent eux-même en modifiant la commande netstat, ainsi que tout plein d'autres commandes (ls, md5sum, ssh, etc...) Tu peux toutefois essayer de: - Monter une machine équivalente à côté pour comparer le md5sum des binaires en question - Booter sur un live-cd pour regarder ta machine et remplacer les binaires qui auraient pû être infectés - Sauvegarder toutes tes données et réinstaller Sache qu'il sera important pour toi de savoir par où l'intrus est passé, pour éviter de recommencer la même histoire. Une injection SQL, un trou PHP, un accès ftp associé à un serveur web, etc... Bon courage :)
Re: Intrusion: savoir à quoi correspond un port ouvert
Le Sun, 17 Feb 2008 14:15:28 +0100 Luxpopuli Open source [EMAIL PROTECTED] a écrit: Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de faire le nécessaire (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Avant de comprendre comment remttre en fonctionnement un client et un serveur SSH sur ma machine, je voudrais résoudre ce premier point: Tu devrais faire un chkrootkit et chercher les processus caché (installe cacheproc http://boisson.homeip.net/debian/pool/etch/i386/cacheproc_1.0-2_i386.deb et tape en su # chercheprocess ou # regarde Tu verras le processus cachés et la ligne de commande. Sans doute un truc genre suckIT ou autre. Le ssh n'est pas celui de ta machine bien sûr... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Intrusion: savoir à quoi correspond un port ouvert
Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. J'ai eu ce problème, avec plainte du FAI. Je m'étais fait poutré un serveur IRC. D'expérience, ta machine est foutue, et devra très probablement être réinstallée. Tout dépend si root a été compromis et/ou des backdoors/rootkits installés... Il est toutefois plus prudent de réinstaller effectivement. A titre informatif, dans mon cas: - l'attaquant avait poutré un serveur irc (je ne me souvient plus du nom, un vieux et plus developpé) - il était donc logué en tant qu'utilisateur irc - il avait téléchargé des binaires d'attaque de serveurs ssh par bruteforce, qu'il avait placé dans un répertoire temporaire dans lequel il avait les droits :/ C'était pas très discret, avec un load de 4 sur un bi-p3 alors qu'habituellement le laod est extremement bas :D et ça blastait sur le port 22 en toute directions (j'ai eu une plainte du FAI avec relevé de logs) Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Non, car l'attaquant n'utilise pas forcément tes propres binaires mais à téléchargé les siens, afin de bruteforcer... [optionnel: prendre une image de la/des partitions système, pour analyse post-mortem éventuelle,] un petit coup de forensics permettrait effectivement d'en apprendre un peu plus afin de prendre les mesures nécessaires afin d'éviter que cela recommence. Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme unknown). comment se fait il que ce port sois ouvert sur ta machine ? tu n'as pas configuré correctement les règles iptables ? netstat et lsof te permettent d'en savoir plus sur les ports ouverts sur ta machine et les processus qui les utilisent. Il se pourrait que ce soit une backdoor. HS: est il possible de transferer les inscriptions aux ML vers un autre email ? ou faut il se désinscrire/réinscrire ? Merci :) -- Sébastien BOCAHU - Zecrazytux Mandriva Linux Etraining developper SUPINFO PS2 (51237), Linux Lab www.zecrazytux.net - [EMAIL PROTECTED] Please avoid sending me files in proprietary formats, such as microsoft word or excel. Please use open standards instead (for example, pdf). - This message and any attachments (hereinafter referred to as the message) is intended solely for the addressees and is confidential. If you receive this message in error, please delete it and immediately notify the sender at The International Institute of Information Technology (hereinafter referred to as SUPINFO). Any use not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval. Because the internet can not guarantee the integrity of this message, SUPINFO and its subsidiaries, laboratories and regional branches will not therefore be liable for the message that could only engage his author, not SUPINFO, and only if not modified. - Ce message et toutes les pieces jointes (ci-apres dénommé le message) sont etablis a l'attention exclusive de ses destinataires et sont donc confidentiels. Si toutefois vous recevez ce message par erreur, nous vous remercions de bien vouloir le detruire et d'en avertir immediatement l'expediteur au sein de l'Ecole Supérieure d'Informatique (ci-après dénommée SUPINFO). Toute utilisation de ce message non conforme a sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite, sauf autorisation expresse. Internet ne permettant pas d'assurer l'integrite des messages e-mail en général et donc de ce message en particulier, SUPINFO et ses filiales, sites régionaux, laboratoires ou autres entités attachées, declinent toute responsabilite au titre du présent message qui ne pourrait engager que son auteur et non SUPINFO et seulement dans l'hypothese ou le message n'aurait pas ete modifie par quelque moyen que ce soit. - begin:vcard fn;quoted-printable:S=C3=A9bastien BOCAHU n;quoted-printable:BOCAHU;S=C3=A9bastien org:SUPINFO - Mandriva Linux;SUPINFO Linux Lab - Mandriva Etraining email;internet:[EMAIL PROTECTED] title:SUPINFO Student - Mandriva developper tel;cell:06 31 75 67 15 note;quoted-printable:Please avoid sending me files in proprietary formats, such as microsoft= word or excel. Please use open standards instead (for example, pdf)=0D=0A= =0D=0A= Jabber: [EMAIL PROTECTED] x-mozilla-html:FALSE url:www.zecrazytux.net version:2.1 end:vcard signature.asc Description: OpenPGP digital signature
Re: Intrusion: savoir à quoi correspond un port ouvert
Luxpopuli Open source [EMAIL PROTECTED] writes: Bonjour, Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. D'expérience, ta machine est foutue, et devra très probablement être réinstallée. Je te conseillerais ceci, sans la rebooter: - la couper du réseau de suite, afin d'éviter qu'elle continue à lancer des attaques ; débrancher le câble me parait opportun. - sauvegarder tes données. [optionnel: prendre une image de la/des partitions système, pour analyse post-mortem éventuelle,] - réinstaller de zéro et récupérer tes données. Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Non, c'est très loin d'être sûr. Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme unknown). lsof t'indiquera quel programme écoute sur ce port. -- Nicolas -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Intrusion: savoir à quoi correspond un port ouvert
Merci pour toutes vos réponses pas forcément réjouissante ! ;-) La commande: lsof -i me renvoie tout ce qu'il faut. A propos du port 28011: gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983- a226.anywise.com:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648- jabber.mwsp.net:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766- 80.248.214.47:5223 (ESTABLISHED) gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN) A propos du port 7741: lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN) lisa 2557 root 5u IPv4 5088 UDP *:7741 Il s'agit de ce service: http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html J'apprends à la lecture de cet article qu'on accède à l'aide avec help:/lisa tapé dans la barre d'URL de konqueror Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma machine ? Pascal Le 17/02/08, Luxpopuli Open source [EMAIL PROTECTED] a écrit : Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de faire le nécessaire (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Avant de comprendre comment remttre en fonctionnement un client et un serveur SSH sur ma machine, je voudrais résoudre ce premier point: j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est: nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131 Dans la réponse renvoyée je peux lire ceci: = Discovered open port 28011/tcp on 82.67.66.131 28011/tcp open unknown 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r(RPC SF:Check,2,\x05\0)%r(DNSVersionBindReq,2,\x05\0)%r(DNSStatusRequest,2, SF:\x05\0)%r(SSLSessionReq,2,\x05\0)%r(SMBProgNeg,2,\x05\0)%r(X11Pro SF:be,2,\x05\0)%r(LDAPBindReq,2,\x05\0)%r(TerminalServer,2,\x05\0)%r SF:(NotesRPC,2,\x05\0)%r(WMSRequest,2,\x05\0); Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.17 - 2.6.21 OS Fingerprint: OS:SCAN(V= 4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686- OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T= OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R= OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4 OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D OS:LI=S) = Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme unknown). Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ? Un autre port est ouvert: le 7741 dont voici la signalisation par nmap: 7741/tcp open tcpwrapped Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ? Je vous remercie pour votre aide Pascal -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français
Re: Intrusion: savoir à quoi correspond un port ouvert
Bonjour Jean-Michel, J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le résultat des logs est ici: http://www.linuxorable.fr/tmp/rkhunter.log http://www.linuxorable.fr/tmp/chkrootkit.log Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans ces logs. Pascal Le 17/02/08, Jean-Michel OLTRA [EMAIL PROTECTED] a écrit : Bonjour, Le dimanche 17 février 2008, Luxpopuli Open source a écrit... Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps r soudre d finitivement le probl me. Mais est-ce si s r ?! Je souscris aux différentes réponses précédentes. Tu peux tenter un chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant de réinstaller. Mais bon, il ne sera jamais sûr que ton système sera sain après tes analyses et tes purges éventuelles. La méthode la plus sûre reste la réinstallation. Je crois que F. Boisson a également un utilitaire qui permet de traquer les processus indélicats. -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français
Re: Intrusion: savoir à quoi correspond un port ouvert
Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ? Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du port 22 Si elle ouvre forcément un port je peux toujours contrôler fréquemment les ports utilisés avec lsof -i Pour l'instant, cette commande ne me renvoie que des services connus. J'en conclus que actuellement ma machine n'est pas utilisée par l'intru. Ai-je raison de penser cela ? Pascal Le 17/02/08, Luxpopuli Open source [EMAIL PROTECTED] a écrit : Merci pour toutes vos réponses pas forcément réjouissante ! ;-) La commande: lsof -i me renvoie tout ce qu'il faut. A propos du port 28011: gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983- a226.anywise.com:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648- jabber.mwsp.net:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766- 80.248.214.47:5223 (ESTABLISHED) gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN) A propos du port 7741: lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN) lisa 2557 root 5u IPv4 5088 UDP *:7741 Il s'agit de ce service: http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html J'apprends à la lecture de cet article qu'on accède à l'aide avec help:/lisa tapé dans la barre d'URL de konqueror Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma machine ? Pascal Le 17/02/08, Luxpopuli Open source [EMAIL PROTECTED] a écrit : Bonjour, J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine. Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de faire le nécessaire (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! Avant de comprendre comment remttre en fonctionnement un client et un serveur SSH sur ma machine, je voudrais résoudre ce premier point: j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est: nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131 Dans la réponse renvoyée je peux lire ceci: = Discovered open port 28011/tcp on 82.67.66.131 28011/tcp open unknown 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r (RPC SF:Check,2,\x05\0)%r(DNSVersionBindReq,2,\x05\0)%r(DNSStatusRequest,2, SF:\x05\0)%r(SSLSessionReq,2,\x05\0)%r(SMBProgNeg,2,\x05\0)%r(X11Pro SF:be,2,\x05\0)%r(LDAPBindReq,2,\x05\0)%r(TerminalServer,2,\x05\0)%r SF:(NotesRPC,2,\x05\0)%r(WMSRequest,2,\x05\0); Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.17 - 2.6.21 OS Fingerprint: OS:SCAN(V= 4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686- OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T= OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R= OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4 OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D OS:LI=S) = Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme unknown). Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ? Un autre port est ouvert: le 7741 dont voici la signalisation par nmap: 7741/tcp open tcpwrapped Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ? Je vous remercie pour votre aide Pascal -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français -- http://www.luxpopuli.fr -
Re: Intrusion: savoir à quoi correspond un port ouvert
Le Sun, 17 Feb 2008 15:34:59 +0100
Luxpopuli Open source [EMAIL PROTECTED] a écrit:
Bonjour Jean-Michel,
J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:
http://www.linuxorable.fr/tmp/rkhunter.log
http://www.linuxorable.fr/tmp/chkrootkit.log
Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans
ces logs.
Une bonne méthode est de faire ces commandes pour voir les fichiers corrompus:
$ cd /tmp
$ cat /var/lib/dpkg/info/*.md5sums | sort -u MD5-ORG
$ cd /
$ cat /tmp/MD5-ORG | awk '{print md5sum $2}' | grep -v -E ^md5sum *$
/tmp/gre
$ sh /tmp/gre /tmp/MD5
$ cd /tmp
$ diff -urN MD5-ORG MD5
Tu auras la liste des fichiers différent de ceux des paquets installés.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Intrusion: savoir à quoi correspond un port ouvert
François Boisson a écrit :
Une bonne méthode est de faire ces commandes pour voir les fichiers corrompus:
$ cd /tmp
$ cat /var/lib/dpkg/info/*.md5sums | sort -u MD5-ORG
$ cd /
$ cat /tmp/MD5-ORG | awk '{print md5sum $2}' | grep -v -E ^md5sum *$ /tmp/gre
$ sh /tmp/gre /tmp/MD5
$ cd /tmp
$ diff -urN MD5-ORG MD5
Tu auras la liste des fichiers différent de ceux des paquets installés.
pas forcément, parce que si le type connaît son job, il aura aussi
modifié le listing des md5 d'origine...
dans un cas comme ça, je dirais comme Nicolas: faire une image pour analyse
future (c'est pas du nougat, mais il-y-a des spécialistes de cela) et tout
réinstaller.
JY
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Intrusion: savoir à quoi correspond un port ouvert
Je t'ai mis cherchprocess en ligne http://boisson.homeip.net/chercheprocess # ./chercheprocess Recherche de processus cachés F.Boisson Dec2003 ...- 0 processus caché(s) trouvé(s) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Intrusion: savoir à quoi correspond un port ouvert
Le Sun, 17 Feb 2008 16:28:40 +0100 Jean-Yves F. Barbier [EMAIL PROTECTED] a écrit: pas forcément, parce que si le type connaît son job, il aura aussi modifié le listing des md5 d'origine... Si aucune différence n'est montré oui, mais je serais prêt à faire un pari là dessus. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Intrusion: savoir à quoi correspond un port ouvert
On Sun, 17 Feb 2008 16:18:13 +0100, Stephane Bortzmeyer [EMAIL PROTECTED] wrote: On Sun, Feb 17, 2008 at 03:25:38PM +0100, Luxpopuli Open source [EMAIL PROTECTED] wrote a message of 354 lines which said: Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ? Non, j'infirme. Il attaque des *serveurs* SSH et ta machine est *cliente* SSH lors des attaques. Il y a bien un port ouvert mai il n'écoute pas et son numéro est quelconque et différent à chaque client lancé. nmap et lsof ne seront donc d'aucune utilité pour ce cas là. Nmap en effet, ne sert à rien pour s'en sortir. Le fait de scanner une machine n'intervient que dans le traffic entrant sur la machine ; ainsi on obtiendra de manière générale une liste des services potentiellement grand ouverts, et la situation du firewall : stateful ou pas , et la politique adoptée. En plus sur une machine protégée, il y a de forte chances pour que ton scan ne soit pas représentatif de l'état du serveur, et mette quarante ans à obtenir les informations demandées. Côté firewall pour l'OP, je conseillerais de limiter les nouvelles connexions sortantes de sa machine et en les inspectant en plus avec un IDS, afin de détecter des options particulière dans le traffic. De cette manière il devient alors possible (mais pas certains) de déterminer le genre de virus/exploit qui traînent dans le coin. Soit pour les connexions SSH depuis ton poste vers une machine cliente, on ferait attention aux demandes de connexion issuent d'un port non privilégié ( 1024) vers le port 22 (en tcp). Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du port 22 Port de *destination* sur le *serveur* SSH. Cela ne signifie rien pour le port *source* sur ta machine, le *client* SSH. Le scan de ta machine par un tiers ne te fournit que l'état de ton poste vu de l'extérieur et en aucun cas vu de l'attaquant dans le cas présent. Une fois déterminer la cause du problème, je préconiserais la réinstallation complète de la machine comme d'autres l'ont proposé. --- Franck Joncourt http://www.debian.org/ - http://smhteam.info/wiki/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
