connexions par xteld
J'ai dans mes logs des connexions par xteld venant d'adresses IP que je ne connais pas. Ça donne ça : Oct 4 20:13:07 crates xteld[8248]: connect from ***.***.**.** (***.***.**.**) Oct 4 20:13:52 crates xteld[8248]: read: Success C'est un virus ou un script kiddie ? Cette adresse IP appartient à netvision, une précédente tentative venait de telefonica. Les spécialistes en sécurité savent de quoi il en retourne ? xteld n'est pas lancé chez moi, pas plus que xtel. nicolas patrois : pts noir asocial -- SPROTCH ! P : Non, y a rien de plus immonde que de chier sur la moquette... M : Pas d'accord... A pire... Chier sous la moquette... H : ?!!
Re: connexions par xteld
Mon, 04 Oct 2004 21:27:29 +0200, nicolas a écrit : > J'ai dans mes logs des connexions par xteld venant d'adresses IP que je > ne connais pas. > Ça donne ça : > Oct 4 20:13:07 crates xteld[8248]: connect from ***.***.**.** > (***.***.**.**) > Oct 4 20:13:52 crates xteld[8248]: read: Success > > C'est un virus ou un script kiddie ? > Cette adresse IP appartient à netvision, une précédente tentative > venait de telefonica. > Les spécialistes en sécurité savent de quoi il en retourne ? > xteld n'est pas lancé chez moi, pas plus que xtel. Les ports 1313 et 1314 sont associés à xtel. Qu'est-ce qui tourne sur ta machine ? (netstat -tpan) -- Sylvain Sauvage
Re: connexions par xteld
Le Mon, 04 Oct 2004 22:20:06 +0200, Sylvain Sauvage a écrit : > Les ports 1313 et 1314 sont associés à xtel. > Qu'est-ce qui tourne sur ta machine ? (netstat -tpan) Ça : crates:/home/nicolas# netstat -tpan Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distanteEtat PID/Program name tcp0 0 0.0.0.0:13130.0.0.0:* LISTEN 444/inetd tcp0 0 0.0.0.0:26280.0.0.0:* LISTEN 431/0 tcp0 0 0.0.0.0:37 0.0.0.0:* LISTEN 444/inetd tcp0 0 127.0.0.1:614 0.0.0.0:* LISTEN 438/famd tcp0 0 0.0.0.0:9 0.0.0.0:* LISTEN 444/inetd tcp0 0 0.0.0.0:13 0.0.0.0:* LISTEN 444/inetd tcp0 0 0.0.0.0:111 0.0.0.0:* LISTEN 343/portmap tcp0 0 0.0.0.0:60000.0.0.0:* LISTEN 658/X tcp0 0 0.0.0.0:76340.0.0.0:* LISTEN 11349/hddtemp tcp0 0 0.0.0.0:22 0.0.0.0:* LISTEN 463/sshd tcp0 0 127.0.0.1:7634 127.0.0.1:43877 TIME_WAIT - tcp0 0 82.65.37.247:43873 62.23.204.139:119 ESTABLISHED20290/pan tcp0 0 82.65.37.247:43850 80.67.172.59:110 ESTABLISHED12411/balsa tcp0 0 82.65.37.247:43849 193.201.103.114:1441 ESTABLISHED823/xmms tcp0 0 82.65.37.247:43865 212.27.42.71:119 ESTABLISHED20290/pan nicolas patrois : pts noir asocial -- SPROTCH ! P : Non, y a rien de plus immonde que de chier sur la moquette... M : Pas d'accord... A pire... Chier sous la moquette... H : ?!!
Re: connexions par xteld
Le 05/10/04 à 7:00, nicolas écrivait: > crates:/home/nicolas# netstat -tpan > Connexions Internet actives (serveurs et établies) > Proto Recv-Q Send-Q Adresse locale Adresse distanteEtat > PID/Program name > tcp0 0 0.0.0.0:13130.0.0.0:* LISTEN > 444/inetd > tcp0 0 0.0.0.0:26280.0.0.0:* LISTEN > 431/0 > tcp0 0 0.0.0.0:37 0.0.0.0:* LISTEN > 444/inetd > tcp0 0 127.0.0.1:614 0.0.0.0:* LISTEN > 438/famd > tcp0 0 0.0.0.0:9 0.0.0.0:* LISTEN > 444/inetd > tcp0 0 0.0.0.0:13 0.0.0.0:* LISTEN > 444/inetd > tcp0 0 0.0.0.0:111 0.0.0.0:* LISTEN > 343/portmap > tcp0 0 0.0.0.0:60000.0.0.0:* LISTEN > 658/X > tcp0 0 0.0.0.0:76340.0.0.0:* LISTEN > 11349/hddtemp > tcp0 0 0.0.0.0:22 0.0.0.0:* LISTEN > 463/sshd > tcp0 0 127.0.0.1:7634 127.0.0.1:43877 TIME_WAIT > - > tcp0 0 82.65.37.247:43873 62.23.204.139:119 > ESTABLISHED20290/pan > tcp0 0 82.65.37.247:43850 80.67.172.59:110 > ESTABLISHED12411/balsa > tcp0 0 82.65.37.247:43849 193.201.103.114:1441 > ESTABLISHED823/xmms > tcp0 0 82.65.37.247:43865 212.27.42.71:119 > ESTABLISHED20290/pan Manque xinetd ! Est-il installé ? C'est le successeur de inetd. Avec lui les ports 37(time), 9(discard), 13(daytime) sont désactivés par défaut. Cordialement Jean-Pierre
Re: connexions par xteld
Le Tue, 05 Oct 2004 14:00:15 +0200, J.Pierre Pourrez a écrit : > Manque xinetd ! > Est-il installé ? > C'est le successeur de inetd. > Avec lui les ports 37(time), 9(discard), 13(daytime) sont désactivés par > défaut. Ah non, tiens. C'est fait maintenant. Merci. nicolas patrois : pts noir asocial -- SPROTCH ! P : Non, y a rien de plus immonde que de chier sur la moquette... M : Pas d'accord... A pire... Chier sous la moquette... H : ?!!
Re: connexions par xteld
Tue, 05 Oct 2004 17:42:01 +0200, nicolas a écrit : > Le Tue, 05 Oct 2004 14:00:15 +0200, J.Pierre Pourrez a écrit : > > > Manque xinetd ! > > Est-il installé ? > > C'est le successeur de inetd. > > Avec lui les ports 37(time), 9(discard), 13(daytime) sont désactivés > > par défaut. > > Ah non, tiens. C'est fait maintenant. Merci. Peut-être mais cela n'empêche pas xtel de tourner sur ta machine. En fait, c'est inetd (ou xinetd maintenant) qui répond pour lui aux demandes de connexion mais c'est toujours xteld qui répond. Donc : apt-get --purge remove xteld -- Sylvain Sauvage
