Sebastien Moretti wrote:
Hello � tousBonjour,
lorsque je lance un nmap sur mon serveur, j'ai des services lanc�s inconnus sur les ports 651, 661 et 737. Je ne parviens pas en plus � lancer les daemons rexec et rlogin. Que puis-je faie ?
J'ai le r�sultat suivant avec nmap. Je suis sous Mdk 9.0, pentium III
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on ma.machine (mon.IP):
(The 1584 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open sunrpc
139/tcp open netbios-ssn
443/tcp open https
515/tcp open printer
631/tcp open ipp
651/tcp open unknown
661/tcp open unknown
737/tcp open unknown
3128/tcp open squid-http
3306/tcp open mysql
6000/tcp open X11
10000/tcp open snet-sensor-mgmt
32770/tcp open sometimes-rpc3
Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds
Merci de votre aide.
------------------------------------------------------------------------
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";
Jetez un oeil aux sockets ouvertes sur votre b�cane par un :
netstat -a|more
Vous obtenez un truc de ce genre :
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:6000 *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 toto.univ-reuni:32797 titi.univ-reunion:ssh ESTABLISHED udp 0 0 *:syslog *:*
raw 0 0 *:icmp *:* 7
Dans la liste des sockets ouvertes, faites un LSOF sur celles qui vous
int�resse afin de visualiser le processus qui y est rattach� : (exemple)
lsof |grep 6000
R�ponse :
X 1514 root 1u IPv4 15220 TCP *:6000 (LISTEN
Dans l'exemple, j'ai choisi de tracer la socket qui binde le port
6000 (oui, je sais, tout le monde sait que c'est X, mais ce n'est qu'un
exemple ! ;-) ), et la r�ponse me donne le process 1514.
Un petit "kill -9 1514" et le tour est jou�, j'ai lib�r� le port, je peux
binder un autre processus � la place.
Dans certains cas (notamment lors de d�couvertes de rootkits) on peut
avoir une r�ponse du LSOF de la forme :
mysqld 1139 mysql 1w REG 3,6 10295 1049248 /var/lib/mysql
ce qui nous permet d'avoir un point de d�part de chemin d'acc�s pour la
recherche du processus que l'on traque.
Cordialement
--
==================================================================
Alexandre GOUVERNEUR
Ingenieur Systemes et Reseaux
Responsable Securite Informatique
Universite de La Reunion
Tel : +262 262938319
Fax : +262 262938106
e-mail : [EMAIL PROTECTED]
web : http://piton.stdenis.univ-reunion.fr/winmysql
==================================================================
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
