Et que te dit "netstat -ap"? ciao, Leo
----- Original Message ----- From: "Vuko Brigljevic" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, January 27, 2004 2:06 PM Subject: [gull] intrusion? > Tout me porte a croire qu'un de mes PC vient d'etre victime > d'une intrusion: > > En faisant un portscan sur une de mes machines avec nmap, je decouvre > que le port 997 est ouvert, qui d'apres /etc/services correspond > a maitrd (aucune idee de ce qu'est maitrd et une recherche sur > google ne m'a rien appris d'utile a part que c'est bien le service > correspondant a 997). En me loggant par telnet sur ce port, je > vois bien que quelque chose repond (telnet sur un port vide > donne "connection refused") mais je ne trouve pas le proces > qui y correspond. Apres avoir redemarre la machine, je vois > cette fois que le port 989 est ouvert, correspondant > a ftps-data (voir output de nmap ci-dessous). Au redemarrage > suivant, c'est au tour du port 985 d'etre ouvert. C'est > comme si un petit malin s'amusait a ouvrir son cheval > de Troie a chaque fois sur un autre port. > > Quelqu'un aurait-il une autre explication que l'intrusion??? > > Je viens en fait de reinstaller cette machine avec SuSE 8.2 > et j'ai charge tout de suite les patches de securite de > SuSE pendant l'installation. J'ai de tres bonnes raisons de > croire que la machine etait compromise avant. L'intrus > a donc probablement immediatement essaye de regagner > "son bien". > > Vuko > > > PS: l'output de nmap > > > ~ # nmap -v HOST > > Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) > No tcp,udp, or ICMP scantype specified, assuming SYN Stealth scan. Use -sP if > you really don't want to portscan (and just want to see what hosts are up). > Host HOST (x.y.z.w) appears to be up ... good. > Initiating SYN Stealth Scan against HOST (x.y.z.w) > Adding open port 111/tcp > Adding open port 989/tcp > Adding open port 6000/tcp > Adding open port 22/tcp > The SYN Stealth Scan took 0 seconds to scan 1601 ports. > Interesting ports on HOST (x.y.z.w): > (The 1597 ports scanned but not shown below are in state: closed) > Port State Service > 22/tcp open ssh > 111/tcp open sunrpc > 989/tcp open ftps-data > 6000/tcp open X11 > > Nmap run completed -- 1 IP address (1 host up) scanned in 1 second > ~ # ps aux | grep ftp > root 8246 0.0 0.0 3544 500 pts/7 S 10:57 0:00 grep ftp > > > -- > ===========================================================| > Vuko Brigljevic | > Rudjer Boskovic Institute | > --------------------------------------------------------- | > Mail Address: Bijenicka cesta 54, P.O.B. 180 | > 10002 Zagreb Croatia | > Phone : +385-1- 468 0204 | > www : http://cern.ch/vuko | > ===========================================================| > > > > _______________________________________________ > gull mailing list > [EMAIL PROTECTED] > http://lists.alphanet.ch/mailman/listinfo/gull > > > _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
