Je ne suis pas un spécialiste de la sécurité, mais j'ai obtenu cette
alerte via logcheck :
Active System Attack Alerts
=-=-=-=-=-=-=-=-=-=-=-=-=-=
Nov 25 08:04:11 fin-lebret postfix/qmgr[163]: 3AB64491:
from=<attack3@yahoo.com>, size=2083, nrcpt=1 (queue active)
D'où mon inquiétude...
Un sockstat -4 m'a donnée ceci :
fin-lebret% sockstat -4
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root master 161 11 tcp4 127.0.0.1:25 *:*
Puis un nmap localhost ceci :
fin-lebret% nmap localhost
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-11-27 13:54 CET
Interesting ports on localhost.beauvais.fr (127.0.0.1):
(The 1642 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp open smtp
1437/tcp open tabula
5 minutes après, nouveau nmap, la ligne concernant tabula n'apparait
plus...
Qu'est-ce que c'st que ce truc ? Comment s'en débarasser ?
--
>> M'en fout moi je suis dieu.
> M'en fout, moi, je suis root.
Et moi EDF. *clic*
-+- LR in GFA : "Ils vous doivent plus que la lumière" -+-
5 minutes après, nouveau nmap, la ligne concernant tabula n'apparait plus...
Qu'est-ce que c'st que ce truc ? Comment s'en débarasser ?
tu devrais installer et lancer chkrootkit (c'est dans les ports)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
Arnaud
tu devrais installer et lancer chkrootkit (c'est dans les ports)
Rien à signaler côté chkrootkit. Par contre : fin-lebret% nmap localhost Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-11-28 09:44 CET Interesting ports on localhost.beauvais.fr (127.0.0.1): (The 1642 ports scanned but not shown below are in state: closed) Port State Service 25/tcp open smtp 2106/tcp open ekshell
qui n'apparaît plus après 5 minutes.
-- Pour le pipo, c'est difficile : d'expérience, la cible exige une présence humaine sur site, d'où l'usage exclusif d'armes à courte portée (pointeur à diode, agitation de transparents chamarrés). -+- AB in GFA : La chasse, avec le pipeau pour appeau -+-
tu devrais installer et lancer chkrootkit (c'est dans les ports)
Rien à signaler côté chkrootkit.
Par contre :
fin-lebret% nmap localhost
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-11-28 09:44 CET
Interesting ports on localhost.beauvais.fr (127.0.0.1):
(The 1642 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp open smtp
2106/tcp open ekshell
qui n'apparaît plus après 5 minutes.
--
Pour le pipo, c'est difficile : d'expérience, la cible exige une
présence humaine sur site, d'où l'usage exclusif d'armes à courte portée
(pointeur à diode, agitation de transparents chamarrés).
-+- AB in GFA : La chasse, avec le pipeau pour appeau -+-
tu devrais installer et lancer chkrootkit (c'est dans les ports)
Rien à signaler côté chkrootkit. Par contre : fin-lebret% nmap localhost Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-11-28 09:44 CET Interesting ports on localhost.beauvais.fr (127.0.0.1): (The 1642 ports scanned but not shown below are in state: closed) Port State Service 25/tcp open smtp 2106/tcp open ekshell
qui n'apparaît plus après 5 minutes.
-- Pour le pipo, c'est difficile : d'expérience, la cible exige une présence humaine sur site, d'où l'usage exclusif d'armes à courte portée (pointeur à diode, agitation de transparents chamarrés). -+- AB in GFA : La chasse, avec le pipeau pour appeau -+-
Nicob
On Fri, 28 Nov 2003 10:56:15 +0000, Arnaud wrote:
2106/tcp open ekshell
Et que donne une commande comme "fuser -v 2106/tcp" ?
Nicob
On Fri, 28 Nov 2003 10:56:15 +0000, Arnaud wrote:
2106/tcp open ekshell
Et que donne une commande comme "fuser -v 2106/tcp" ?
Et que donne une commande comme "fuser -v 2106/tcp" ?
fuser -v 2106/tcp zsh: command not found: fuser
(Je suis sous FreeBSD) lsof -i:2106 alors.
(lsof est dans les ports)
Arnaud Giersch
Jeudi le 27 novembre 2003, vers 14:50:54 (CET), Arnaud a écrit:
fin-lebret% nmap localhost [...]
1437/tcp open tabula
5 minutes après, nouveau nmap, la ligne concernant tabula n'apparait plus...
Qu'est-ce que c'st que ce truc ? Comment s'en débarasser ?
J'ai déjà eu un problème similaire sous linux (des ports ouverts fantômes avec un nmap localhost). Je me suis rassuré en faisant le nmap depuis une autre machine.
J'avais l'impression (mais je n'ai pas vérifié) que ça correspondait à un port que nmap avait lui-même utilisé pour le scan. Une recherche Google sur "nmap localhost" semble confirmer cette hypothèse.
-- Arnaud
Jeudi le 27 novembre 2003, vers 14:50:54 (CET), Arnaud a écrit:
fin-lebret% nmap localhost
[...]
1437/tcp open tabula
5 minutes après, nouveau nmap, la ligne concernant tabula n'apparait
plus...
Qu'est-ce que c'st que ce truc ? Comment s'en débarasser ?
J'ai déjà eu un problème similaire sous linux (des ports ouverts
fantômes avec un nmap localhost). Je me suis rassuré en faisant le
nmap depuis une autre machine.
J'avais l'impression (mais je n'ai pas vérifié) que ça correspondait à
un port que nmap avait lui-même utilisé pour le scan. Une recherche
Google sur "nmap localhost" semble confirmer cette hypothèse.
Jeudi le 27 novembre 2003, vers 14:50:54 (CET), Arnaud a écrit:
fin-lebret% nmap localhost [...]
1437/tcp open tabula
5 minutes après, nouveau nmap, la ligne concernant tabula n'apparait plus...
Qu'est-ce que c'st que ce truc ? Comment s'en débarasser ?
J'ai déjà eu un problème similaire sous linux (des ports ouverts fantômes avec un nmap localhost). Je me suis rassuré en faisant le nmap depuis une autre machine.
J'avais l'impression (mais je n'ai pas vérifié) que ça correspondait à un port que nmap avait lui-même utilisé pour le scan. Une recherche Google sur "nmap localhost" semble confirmer cette hypothèse.
-- Arnaud
Arnaud
lsof pourrait d'aider a savoir quel process ouvre ces ports, sinon dans le doute tu peux peut etre firewaller tout ça.
sortie de lsof : lsof: no pwd entry for UID 876 lsof: no pwd entry for UID 876 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME lsof: no pwd entry for UID 876 (unknown) 131072 876 cwd unknown file system ype: -1071038104 lsof: no pwd entry for UID 876 (unknown) 131072 876 rtd unknown file system ype: 0
-- Le robot (version 5.69 pl56-a) gérant le vote ne respecte pas l'alinéa 53bis de l'article 85 du livre 12 révision 2. MON CHAT DOIT POUVOIR COMPRENDRE ! -+- LW in: Guide du Cabaliste Usenet - Bien configurer son chat -+-
lsof pourrait d'aider a savoir quel process ouvre ces ports, sinon dans
le doute tu peux peut etre firewaller tout ça.
sortie de lsof :
lsof: no pwd entry for UID 876
lsof: no pwd entry for UID 876
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
lsof: no pwd entry for UID 876
(unknown) 131072 876 cwd unknown file system
ype: -1071038104
lsof: no pwd entry for UID 876
(unknown) 131072 876 rtd unknown file system
ype: 0
--
Le robot (version 5.69 pl56-a) gérant le vote ne respecte pas l'alinéa
53bis de l'article 85 du livre 12 révision 2.
MON CHAT DOIT POUVOIR COMPRENDRE !
-+- LW in: Guide du Cabaliste Usenet - Bien configurer son chat -+-
lsof pourrait d'aider a savoir quel process ouvre ces ports, sinon dans le doute tu peux peut etre firewaller tout ça.
sortie de lsof : lsof: no pwd entry for UID 876 lsof: no pwd entry for UID 876 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME lsof: no pwd entry for UID 876 (unknown) 131072 876 cwd unknown file system ype: -1071038104 lsof: no pwd entry for UID 876 (unknown) 131072 876 rtd unknown file system ype: 0
-- Le robot (version 5.69 pl56-a) gérant le vote ne respecte pas l'alinéa 53bis de l'article 85 du livre 12 révision 2. MON CHAT DOIT POUVOIR COMPRENDRE ! -+- LW in: Guide du Cabaliste Usenet - Bien configurer son chat -+-
Arnaud
J'ai déjà eu un problème similaire sous linux (des ports ouverts fantômes avec un nmap localhost). Je me suis rassuré en faisant le nmap depuis une autre machine.
J'avais l'impression (mais je n'ai pas vérifié) que ça correspondait à un port que nmap avait lui-même utilisé pour le scan. Une recherche Google sur "nmap localhost" semble confirmer cette hypothèse.
On dirait que tu es dans le vrai. Le port qui apparaît est très variable, un simple "nmap localhost" en donne une palanquée de "filtered" alors qu'un "sudo nmap localhost" ne donne au pire qu'un fantôme.
Je n'ai ce comportement que depuis que j'ai portupgradé nmap. Copie fcob, suivi ici.
-- MB : local.afrique, il faudra expliquer que ce n'est pas le coffre-fort ! JPK: Avec mes meilleurs sous venir ! -+- in: Guide du Cabaliste Usenet - La Cabale se place -+-
J'ai déjà eu un problème similaire sous linux (des ports ouverts
fantômes avec un nmap localhost). Je me suis rassuré en faisant le
nmap depuis une autre machine.
J'avais l'impression (mais je n'ai pas vérifié) que ça correspondait à
un port que nmap avait lui-même utilisé pour le scan. Une recherche
Google sur "nmap localhost" semble confirmer cette hypothèse.
On dirait que tu es dans le vrai. Le port qui apparaît est très
variable, un simple "nmap localhost" en donne une palanquée de
"filtered" alors qu'un "sudo nmap localhost" ne donne au pire qu'un
fantôme.
Je n'ai ce comportement que depuis que j'ai portupgradé nmap. Copie
fcob, suivi ici.
--
MB : local.afrique, il faudra expliquer que ce n'est pas le coffre-fort !
JPK: Avec mes meilleurs sous venir !
-+- in: Guide du Cabaliste Usenet - La Cabale se place -+-
J'ai déjà eu un problème similaire sous linux (des ports ouverts fantômes avec un nmap localhost). Je me suis rassuré en faisant le nmap depuis une autre machine.
J'avais l'impression (mais je n'ai pas vérifié) que ça correspondait à un port que nmap avait lui-même utilisé pour le scan. Une recherche Google sur "nmap localhost" semble confirmer cette hypothèse.
On dirait que tu es dans le vrai. Le port qui apparaît est très variable, un simple "nmap localhost" en donne une palanquée de "filtered" alors qu'un "sudo nmap localhost" ne donne au pire qu'un fantôme.
Je n'ai ce comportement que depuis que j'ai portupgradé nmap. Copie fcob, suivi ici.
-- MB : local.afrique, il faudra expliquer que ce n'est pas le coffre-fort ! JPK: Avec mes meilleurs sous venir ! -+- in: Guide du Cabaliste Usenet - La Cabale se place -+-