Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ? Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du port 22
Si elle ouvre forcément un port je peux toujours contrôler fréquemment les ports utilisés avec lsof -i Pour l'instant, cette commande ne me renvoie que des services connus. J'en conclus que actuellement ma machine n'est pas utilisée par l'intru. Ai-je raison de penser cela ? Pascal Le 17/02/08, Luxpopuli Open source <[EMAIL PROTECTED]> a écrit : > > Merci pour toutes vos réponses pas forcément réjouissante ! ;-) > > La commande: > > lsof -i > > me renvoie tout ce qu'il faut. A propos du port 28011: > > gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983-> > a226.anywise.com:xmpp-client (ESTABLISHED) > gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648-> > jabber.mwsp.net:xmpp-client (ESTABLISHED) > gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766-> > 80.248.214.47:5223 (ESTABLISHED) > gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN) > > A propos du port 7741: > > lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN) > lisa 2557 root 5u IPv4 5088 UDP *:7741 > > Il s'agit de ce service: > http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html > J'apprends à la lecture de cet article qu'on accède à l'aide avec > "help:/lisa" tapé dans la barre d'URL de konqueror > > Petite question: est-ce que lsof -i me permettrait de découvrir un service > ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstaller > ma machine ? > > Pascal > > Le 17/02/08, Luxpopuli Open source <[EMAIL PROTECTED]> a écrit : > > > > Bonjour, > > > > J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir > > de ma machine, des attaques SSH. Au moins deux personnes (une aux USA > > l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives > > de connection SSH sont réalisées depuis ma machine. > > > > Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un > > mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le > > problème, j'ai commencé par supprimer tous les packages liés à SSH > > > > Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un > > premier, temps résoudre définitivement le problème. Mais est-ce si sûr > > ?! > > > > Avant de comprendre comment remttre en fonctionnement un client et un > > serveur SSH sur ma machine, je voudrais résoudre ce premier point: > > > > j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La > > commande équivalente lancée est: > > > > nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131 > > > > Dans la réponse renvoyée je peux lire ceci: > > > > ===================== > > > > Discovered open port 28011/tcp on 82.67.66.131 > > 28011/tcp open unknown > > 1 service unrecognized despite returning data. If you know the > > service/version, please submit the following fingerprint at > > http://www.insecure.org/cgi-bin/servicefp-submit.cgi : > > SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r > > (RPC > > > > SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2, > > > > SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro > > > > SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r > > SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0"); > > Device type: general purpose > > Running: Linux 2.6.X > > OS details: Linux 2.6.17 - 2.6.21 > > OS Fingerprint: > > OS:SCAN(V= > > 4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686- > > > > OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O > > > > OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C > > > > OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T= > > > > OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T > > > > OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R= > > > > OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A > > > > OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4 > > > > OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL > > > > OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D > > OS:LI=S) > > > > ===================== > > > > Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait > > pas référencé comme "unknown"). > > > > Comment ou que dois-je faire pour avoir des informations sur ce ports ? > > Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, > > etc... ? > > > > Un autre port est ouvert: le 7741 dont voici la signalisation par nmap: > > > > 7741/tcp open tcpwrapped > > > > Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je > > le stopper ? > > > > Je vous remercie pour votre aide > > > > Pascal > > > > > > > > > > -- > > http://www.luxpopuli.fr - documentation de eZ Publish traduite en > > français > > > > > -- > http://www.luxpopuli.fr - documentation de eZ Publish traduite en français > > -- http://www.luxpopuli.fr - documentation de eZ Publish traduite en français
