Re: Port Infected 1008
Tony Schonfeld wrote: bonjour, Le mardi 16 novembre 2004, Tony Schonfeld a écrit... Qu'elle n'a pas ete ma surprise en lancant un chkrootkit, de lire le message: Port Infected 1008. Dans l'affolement j'ai rebootee la machine ce qui fait que malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est passe ! (bien sur apres la relance plus de probleme) Qu'elle est votre avis sur la question, compromis ou pas compromis ? essaie de voir avec netstat -tupan si quelque chose a ouvert ce port. tu peux utiliser nmap également pour ça, ou bien te faire faire un scan Nessus par une machine distante. la machine est rebootee donc plus de trace le port 1008 est ferme en local et depuis l'exterieur (firewall) Ce port est utilise par Lion ou autospy, Lion utilise une faille de bind mais je suis depuis longtemps avec la v9 et le dns n'est pas ouvert depuis l'exterieur. D'ou ma question sur une reele intrusion :-) et voir sur Google si une saleté quelconque travaille sur 1008. -- jm Euh, chkrootkit, n'est qu'1 des programmes de tiger..., utiliser celui-ci directement et étudier les logs, dans /var/log/tiger/security-quelque chose, non ? Sinon peut-être poser la question en anglais, sur debian security, après avoir consulté leur FAQ et avoir lu les rapports de bugs... sécurity ? Mi
Re: Port Infected 1008
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Tony Schonfeld a écrit : | Bonjour la liste ! | | Qu'elle n'a pas ete ma surprise en lancant un chkrootkit, | de lire le message: Port Infected 1008. | Dans l'affolement j'ai rebootee la machine ce qui fait que | malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est | passe ! (bien sur apres la relance plus de probleme) | | | Qu'elle est votre avis sur la question, compromis ou pas compromis ? | | merci J'ai - cru - avoir ce genre de mauvaises surprises voici quelque temps voici ce qyue j'avais posté ensuite : Bon, j'ai eu ce genre de truc aussi en lançant chkrootkit, et en fouillant dans la doc , je me suis aperçu que certains paquets mentionnés dans /usr/share/doc/chkrookit/Readme.Debian provoquaient de fausses alertes et deux rapports de bogues sont signalés , concernant le paquet procps à lire. J'ai testé , fouillé , essayé un utilitaire bien pratique, disponible ici : http://www.rootkit.nl/projects/rootkit_hunter.html et rien. Je n'ai après cette alerte rien constaté de suspicieux A voir donc, essaie rkhunter, va lire le Readme indiqué , il y a des références de messages que l'on trouve sur Google mahashakti89 | | -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) Comment: Using GnuPG with Debian - http://enigmail.mozdev.org iD8DBQFBmj2MPPuyRSaD7LoRAslUAJ9NfOAu7o29oMpm3ss+Ro+1L0rDTACfboc6 NjilVw0t9gNApivqZdeTVDA= =1fCU -END PGP SIGNATURE-
Re: Port Infected 1008
> * Tony Schonfeld <[EMAIL PROTECTED]> [2004-11-16 12:41] : > > [...] > >> >> >> > Mmm, lors des mises à jour du système, il est indispensable de mettre >> à >> > jour la base de données d'AIDE (et de vérifier quels sont les fichiers >> > mis à jour), je ne comprends donc pas bien d'où vient ton problème, >> ici. >> > >> un aideinit a chaque fois ? > > Non, un "aide --update" plutôt (je n'avais peut-être pas bien compris ce > que tu voulais dire à l'origine). > > ok merci pour l'info, erreur de ma part car Aide n'avait jamais ete mis a jour, donc ne servait plus a rien. je vais egalement lancer chkrootkit avec un cron et etre plus attentif aux outils de ce type dont snort. merci , tony > Fred > > -- > Comment poser les questions de manière intelligente ? > http://www.gnurou.org/documents/smart-questions-fr.html > Comment signaler efficacement un bug ? > http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
Re: Port Infected 1008
* Tony Schonfeld <[EMAIL PROTECTED]> [2004-11-16 12:41] : [...] > >> > > Mmm, lors des mises à jour du système, il est indispensable de mettre à > > jour la base de données d'AIDE (et de vérifier quels sont les fichiers > > mis à jour), je ne comprends donc pas bien d'où vient ton problème, ici. > > > un aideinit a chaque fois ? Non, un "aide --update" plutôt (je n'avais peut-être pas bien compris ce que tu voulais dire à l'origine). Fred -- Comment poser les questions de manière intelligente ? http://www.gnurou.org/documents/smart-questions-fr.html Comment signaler efficacement un bug ? http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html
Re: Port Infected 1008
> >
> Ce n'est pas le bon réflexe. Ce qu'il faut faire dans ce cas, c'est
> déconnecter immédiatement la machine du réseau, puis analyser ce qui
> s'est passé ("netstat -apn" est un bon début).
oui effectivement, c'est ce que je ferais s'il y a une prochaine fois
>
>>
> Mmm, lors des mises à jour du système, il est indispensable de mettre à
> jour la base de données d'AIDE (et de vérifier quels sont les fichiers
> mis à jour), je ne comprends donc pas bien d'où vient ton problème, ici.
>
un aideinit a chaque fois ?
>> Mon reseau est bien sur protege par un modem/routeur/firewall
>> ( bind n'est pas accessible depuis l'exterieur )
>
> Aucune idée et à mon avis, personne de la liste ne pourra te dire sans
> avoir plus d'informations. C'est un travail d'analyse qu'il faut
> réaliser sur la machine potentiellement infectée : cela pourrait être
> par exemple un faux positif (un programme standard qui provoque ce
> comportement de chkrootkit, comme slice par exemple, voir le fichier
> README.Debian de chkrootkit).
>
> Une assez bonne doc est disponible dans le paquet harden-doc et sur le
> site Debian http://www.debian.org/doc/manuals/securing-debian-howto/
> (notamment le chapitre 10 et la section 11.2).
merci fred et les autres, je cois que dans le doute je vais refaire
une install.
Re: Port Infected 1008
* Tony Schonfeld <[EMAIL PROTECTED]> [2004-11-16 10:02] :
> Bonjour la liste !
>
> Qu'elle n'a pas ete ma surprise en lancant un chkrootkit,
> de lire le message: Port Infected 1008.
> Dans l'affolement j'ai rebootee la machine ce qui fait que
> malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est
> passe ! (bien sur apres la relance plus de probleme)
Ce n'est pas le bon réflexe. Ce qu'il faut faire dans ce cas, c'est
déconnecter immédiatement la machine du réseau, puis analyser ce qui
s'est passé ("netstat -apn" est un bon début).
> ce qui est sur c'est qu'avec l'install par defaut de snort
> pas de trace d'une attaque virale ou de type rootkit
> (juste des attaques sur le serveur web )
>
> Pas d'alerte de la part de clamav-daemon
> (j'espere que clamav est capable de reagir un peu comme norton)
>
> Je ne suis pas capable de voir grand chose avec Aide non plus
> car avec les mises a jour regulieres de la machine et l'absence
> de reinitialisation de la base de donnees les logs sont peu explicites.
Mmm, lors des mises à jour du système, il est indispensable de mettre à
jour la base de données d'AIDE (et de vérifier quels sont les fichiers
mis à jour), je ne comprends donc pas bien d'où vient ton problème, ici.
> Mon reseau est bien sur protege par un modem/routeur/firewall
> ( bind n'est pas accessible depuis l'exterieur )
>
> Qu'elle est votre avis sur la question, compromis ou pas compromis ?
Aucune idée et à mon avis, personne de la liste ne pourra te dire sans
avoir plus d'informations. C'est un travail d'analyse qu'il faut
réaliser sur la machine potentiellement infectée : cela pourrait être
par exemple un faux positif (un programme standard qui provoque ce
comportement de chkrootkit, comme slice par exemple, voir le fichier
README.Debian de chkrootkit).
Une assez bonne doc est disponible dans le paquet harden-doc et sur le
site Debian http://www.debian.org/doc/manuals/securing-debian-howto/
(notamment le chapitre 10 et la section 11.2).
Fred
--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html
Re: Port Infected 1008
> > bonjour, > > > Le mardi 16 novembre 2004, Tony Schonfeld a écrit... > > >> Qu'elle n'a pas ete ma surprise en lancant un chkrootkit, >> de lire le message: Port Infected 1008. >> Dans l'affolement j'ai rebootee la machine ce qui fait que >> malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est >> passe ! (bien sur apres la relance plus de probleme) > >> Qu'elle est votre avis sur la question, compromis ou pas compromis ? > > essaie de voir avec netstat -tupan si quelque chose a ouvert ce port. > tu peux utiliser nmap également pour ça, ou bien te faire faire un scan > Nessus par une machine distante. la machine est rebootee donc plus de trace le port 1008 est ferme en local et depuis l'exterieur (firewall) Ce port est utilise par Lion ou autospy, Lion utilise une faille de bind mais je suis depuis longtemps avec la v9 et le dns n'est pas ouvert depuis l'exterieur. D'ou ma question sur une reele intrusion :-) > > et voir sur Google si une saleté quelconque travaille sur 1008. > > -- > jm > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
Re: Port Infected 1008
bonjour, Le mardi 16 novembre 2004, Tony Schonfeld a écrit... > Qu'elle n'a pas ete ma surprise en lancant un chkrootkit, > de lire le message: Port Infected 1008. > Dans l'affolement j'ai rebootee la machine ce qui fait que > malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est > passe ! (bien sur apres la relance plus de probleme) > Qu'elle est votre avis sur la question, compromis ou pas compromis ? essaie de voir avec netstat -tupan si quelque chose a ouvert ce port. tu peux utiliser nmap également pour ça, ou bien te faire faire un scan Nessus par une machine distante. et voir sur Google si une saleté quelconque travaille sur 1008. -- jm
Port Infected 1008
Bonjour la liste ! Qu'elle n'a pas ete ma surprise en lancant un chkrootkit, de lire le message: Port Infected 1008. Dans l'affolement j'ai rebootee la machine ce qui fait que malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est passe ! (bien sur apres la relance plus de probleme) ce qui est sur c'est qu'avec l'install par defaut de snort pas de trace d'une attaque virale ou de type rootkit (juste des attaques sur le serveur web ) Pas d'alerte de la part de clamav-daemon (j'espere que clamav est capable de reagir un peu comme norton) Je ne suis pas capable de voir grand chose avec Aide non plus car avec les mises a jour regulieres de la machine et l'absence de reinitialisation de la base de donnees les logs sont peu explicites. Mon reseau est bien sur protege par un modem/routeur/firewall ( bind n'est pas accessible depuis l'exterieur ) Qu'elle est votre avis sur la question, compromis ou pas compromis ? merci
