Merci pour toutes vos réponses pas forcément réjouissante ! ;-) La commande:
lsof -i me renvoie tout ce qu'il faut. A propos du port 28011: gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983-> a226.anywise.com:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648-> jabber.mwsp.net:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766-> 80.248.214.47:5223 (ESTABLISHED) gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN) A propos du port 7741: lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN) lisa 2557 root 5u IPv4 5088 UDP *:7741 Il s'agit de ce service: http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html J'apprends à la lecture de cet article qu'on accède à l'aide avec "help:/lisa" tapé dans la barre d'URL de konqueror Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma machine ? Pascal Le 17/02/08, Luxpopuli Open source <[EMAIL PROTECTED]> a écrit : > > Bonjour, > > J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de > ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre > en espagne) m'ont fait parvenir des logs prouvant que des tentatives de > connection SSH sont réalisées depuis ma machine. > > Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un > mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le > problème, j'ai commencé par supprimer tous les packages liés à SSH > > Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un > premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?! > > Avant de comprendre comment remttre en fonctionnement un client et un > serveur SSH sur ma machine, je voudrais résoudre ce premier point: > > j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La > commande équivalente lancée est: > > nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131 > > Dans la réponse renvoyée je peux lire ceci: > > ===================== > > Discovered open port 28011/tcp on 82.67.66.131 > 28011/tcp open unknown > 1 service unrecognized despite returning data. If you know the > service/version, please submit the following fingerprint at > http://www.insecure.org/cgi-bin/servicefp-submit.cgi : > SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r(RPC > SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2, > SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro > SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r > SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0"); > Device type: general purpose > Running: Linux 2.6.X > OS details: Linux 2.6.17 - 2.6.21 > OS Fingerprint: > OS:SCAN(V= > 4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686- > > OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O > > OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C > > OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T= > > OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T > > OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R= > > OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A > > OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4 > > OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL > > OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D > OS:LI=S) > > ===================== > > Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait > pas référencé comme "unknown"). > > Comment ou que dois-je faire pour avoir des informations sur ce ports ? > Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, > etc... ? > > Un autre port est ouvert: le 7741 dont voici la signalisation par nmap: > > 7741/tcp open tcpwrapped > > Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le > stopper ? > > Je vous remercie pour votre aide > > Pascal > > > > > -- > http://www.luxpopuli.fr - documentation de eZ Publish traduite en français > -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français
