On Monday 13 May 2002 20:18, Pierre Maitre wrote: > 16:07:58.878887 eth0 < stationmn.1031 > sbee.com.1239: udp 79
Port 79... -> finger. Quelqu'un cherche � obtenir la liste des utilisateurs connect�s. D�sactive finger dans la config de ton syst�me : /etc/services & (x)inetd.conf > autrement dit ce sbee.com se met � communiquer avec un de mes PC (appel� > stationmn) sous windows. Ah..., finger tourne sous W* ? Ou alors ton PC W* a �t� hacker et il existe une backdor sur le port 79... ? > Plus inqui�tant encore, le site www.sbee.com ne contient qu'un mot: > "bleh" Oui, et il (pr�tend) tourner sous Linux, Apache 1.3.22... > Ma config "familiale": > un serveur linux (RH 7.0) appel� "station0" reli� sur internet avec un > modem isdn, et qui me sert de station de travail (graphique) personnelle > (je sens d�j� que Marc Schaeffer va me dire qu'on ne met que le minimum > sur une machine reli�e � Internet, mais bon, j'ai d�j� trop de machines > qui tournent dans mon appartement, je peux pas encore rajouter une > machine juste pour le firewall...). Tu peux d�j� fermer plein de port du c�t� de ton interface ISDN. Tu pourais m�me presque tout fermer en "listen". Soit avec iptables, soit avec une config firewall... fournie par RH ? EN SuSe tu peux activer un "personnal firewall" fournit en standard avec la distrib. Je suppose que RH poss�de la m�me fonctionalit�... non ? > J'ai install� vmware (et j'en ai besoin), qui m'a malheureusement > ouvert plein de ports udp � l'installation. > Le DNS est install� sur ma station de travail. > Ipchains tourne pour que les autres ordinateurs puissent acc�der � > internet par ma station de travail. > Un portable linux est client de ma station de travail, et me sert comme > place de backup > Deux PC windows 98 sont aussi clients. Avec ipchains, ferme les ports externes et le services non indispensables. > J'ai 3 questions: > a) comment m'assurer que monsieur sbee.com est un intru et essaye de > bricoler chez moi (je n'ai rien remarqu� d'anormal autrement, et grep -r > sbee.com /var/log/* ne donne rien ) En ne filtrant que les paquets (contenu) udp avec sbee.com. Il semble qu'aucun port ne soit acc�der... > b) comment m'en d�barasser ou lui interdire l'acc�s (j'ai pas encore > tout compris avec ipchains ...) Oui, c'est bien avec ipchains que tu peux le bloquer. Si tu as un kernel 2.4, utilise plut�t iptables. Il y a un tr�s bon bouquin de Robert Ziegler � ce sujet. Ce type est une r�f�rence dans ce domaine et il a un bouquin pour ipchains et un autre pour iptables. > c) comment rendre mon syst�me plus s�r sans rajouter un ordinateur > d�dicac� au firewall Disons qu'une bonne politique de "firewall" soft sur ta machine est d�j� une bonne barri�re. Il y a ensuite plein de niveaux supl�mentaires � disposition suivant ton degr� de parano�a :-) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
