Intrusion: savoir à quoi correspond un port ouvert

Le
Luxpopuli Open source
=_Part_4903_8851867.1203254128266
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir=
de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé =
un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le pr=
oblème,
j'ai commencé par supprimer tous les packages liés à SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si s=
ûr ?!

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:

j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La comman=
de
équivalente lancée est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la réponse renvoyée je peux lire ceci:



Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-=
gnu%r(RPC
SF:Check,2,"x05")%r(DNSVersionBindReq,2,"x05")%r(DNSStatusRequest,2,
SF:"x05")%r(SSLSessionReq,2,"x05")%r(SMBProgNeg,2,"x05")%r(X11Pro
SF:be,2,"x05")%r(LDAPBindReq,2,"x05")%r(TerminalServer,2,"x05")%r
SF:(NotesRPC,2,"x05")%r(WMSRequest,2,"x05");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=
=47B830D8%P=i686-
OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1==
M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%=
O6=M400C
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN=
(R=Y%DF=Y%T=
OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=
=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST1=
1NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y=
%T=40%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%R=
D=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=
=C0%IPL=164%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%=
TOSI=S%CD=S%SI=S%D
OS:LI=S)



Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait =
pas
référencé comme "unknown").

Comment ou que dois-je faire pour avoir des informations sur ce ports ? Que=
l
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc =
?

Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:

7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je l=
e
stopper ?

Je vous remercie pour votre aide

Pascal




--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai=
s

=_Part_4903_8851867.1203254128266
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<p>Bonjour,</p><p>J&#39;ai manifestement un problème d&#39;intrusion et q=
uelqu&#39;un lance, à partir de ma machine, des attaques SSH. Au moins de=
ux personnes (une aux USA l&#39;autre en espagne) m&#39;ont fait parvenir d=
es logs prouvant que des tentatives de connection SSH sont réalisées de=
puis ma machine.</p>
<p>Pour ne pas avoir de problèmes avec mon FAI qui m&#39;a également en=
voyé un mail me menaçant de &quot;faire le nécessaire&quot; (!) si je=
ne résolvais pas le problème, j&#39;ai commencé par supprimer tous l=
es packages liés à SSH</p>
<p>Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un pr=
emier, temps résoudre définitivement le problème. Mais est-ce si s<sp=
an>ûr ?!</span></p><p>Avant de comprendre comment remttre en fonctionneme=
nt un client et un serveur SSH sur ma machine, je voudrais résoudre ce pr=
emier point:</p>
<p>j&#39;ai lancé un scan de tous les ports de ma machine avec nmapfe. La=
commande équivalente lancée est:</p><p>nmap -sS -sR -sV -O -p- -PI -PT=
-vv <a href="http://82.67.66.131">82.67.66.131</a></p><p>Dans la répon=
se renvoyée je peux lire ceci:</p>
<p></p><p>Di=
scovered open port 28011/tcp on <a href="http://82.67.66.131">82.67.66.13=
1</a><br>28011/tcp open unknown<br>1 service unrecognized despite returnin=
g data. If you know the service/version, please submit the following finger=
print at <a href="http://www.insecure.org/cgi-bin/servicefp-submit.cgi">h=
ttp://www.insecure.org/cgi-bin/servicefp-submit.cgi</a> :<br>
SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-=
gnu%r(RPC<br>SF:Check,2,&quot;x05&quot;)%r(DNSVersionBindReq,2,&quot;x0=
5&quot;)%r(DNSStatusRequest,2,<br>SF:&quot;x05&quot;)%r(SSLSessionReq,=
2,&quot;x05&quot;)%r(SMBProgNeg,2,&quot;x05&quot;)%r(X11Pro<br>
SF:be,2,&quot;x05&quot;)%r(LDAPBindReq,2,&quot;x05&quot;)%r(TerminalS=
erver,2,&quot;x05&quot;)%r<br>SF:(NotesRPC,2,&quot;x05&quot;)%r(WMSRe=
quest,2,&quot;x05&quot;);<br>Device type: general purpose<br>Running: Li=
nux 2.6.X<br>
OS details: Linux 2.6.17 - 2.6.21<br>OS Fingerprint:<br>OS:SCAN(V=4.53%D=
=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i68=
6-<br>OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS=
(O1=M400CST11NW7%O<br>OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST=
11NW7%O5=M400CST11NW7%O6=M400C<br>
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN=
(R=Y%DF=Y%T=<br>OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%D=
F=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T<br>OS:2(R=N)T3(R=Y%DF==
Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=<=
br>
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y=
%T=40%W=0%S=Z%A=S+%F=A<br>OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=
=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4<br>OS:=
0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C=
0%IPL=164%UN=0%RIPL<br>
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%=
TOSI=S%CD=S%SI=S%D<br>OS:LI=S)</p><p>==
==</p><p>Ce port 28011 n&#39;est pas mention=
né dans /etc/services (sinon il ne serait pas référencé comme &quot=
;unknown&quot;).</p>
<p>Comment ou que dois-je faire pour avoir des informations sur ce ports ? =
Quel logiciel l&#39;ouvre, depuis quand, pour faire quoi, comment le fermer=
, etc ?</p><p>Un autre port est ouvert: le 7741 dont voici la signalisat=
ion par nmap:</p>
<p>7741/tcp open tcpwrapped</p><p>Qu&#39;est-ce donc que ce tcpwrapped ? =
A quel service est-il lié et puis-je le stopper ?</p><p></p><p>Je vous re=
mercie pour votre aide</p><p>Pascal</p><p><br><br></p><p></p><br>-- <br><a =
href="http://www.luxpopuli.fr">http://www.luxpopuli.fr</a> - documentatio=
n de eZ Publish traduite en français

=_Part_4903_8851867.1203254128266--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas KOWALSKI
Le #9715881
"Luxpopuli Open source"
Bonjour,



Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à
partir de ma machine, des attaques SSH. Au moins deux personnes (une
aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant
que des tentatives de connection SSH sont réalisées depuis ma
machine.



D'expérience, ta machine est "foutue", et devra très probablement être
réinstallée.

Je te conseillerais ceci, sans la rebooter:

- la couper du réseau de suite, afin d'éviter qu'elle continue à
lancer des attaques ; débrancher le câble me parait opportun.

- sauvegarder tes données.

[optionnel: prendre une image de la/des partitions système, pour
analyse post-mortem éventuelle,]

- réinstaller de zéro et récupérer tes données.

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans
un premier, temps résoudre définitivement le problème. Mais est-ce
si sûr ?!



Non, c'est très loin d'être sûr.

Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne
serait pas référencé comme "unknown").



lsof t'indiquera quel programme écoute sur ce port.

--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9715871
Le 13926ième jour après Epoch,
Luxpopuli Open écrivait:

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à   partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également e nvoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvai s pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH



L'idéal est plutôt de déconnecter ta machine du réseau, le temps de
nettoyer tout ça.

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais e st-ce si
sûr ?!



Rien n'est moins sûr. En général, les "scripts" servant à   cracker les
autres machines embarquent des versions de SSH qui leur sont
propres. Tu peux laisser ssh (client et serveur) sur ta machine, mais
il faut que tu nettoies le reste.

[...]
28011/tcp open unknown


[...]
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne se rait pas
référencé comme "unknown").

Comment ou que dois-je faire pour avoir des informations sur ce ports ? Q uel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?



Tu peux essayer avec "netstat -putana|grep 28011", mais il y a toutes
les chances que ça ne t'apporte rien, les bons kits se camouflent
eux-même en modifiant la commande netstat, ainsi que tout plein
d'autres commandes (ls, md5sum, ssh, etc...)

Tu peux toutefois essayer de:

- Monter une machine équivalente à côté pour comparer l e md5sum des
binaires en question

- Booter sur un live-cd pour "regarder" ta machine et remplacer les
binaires qui auraient pû être infectés

- Sauvegarder toutes tes "données" et réinstaller

Sache qu'il sera important pour toi de savoir par où l'intrus est
passé, pour éviter de recommencer la même histoire. Une inje ction SQL,
un trou PHP, un accès ftp associé à un serveur web, etc...

Bon courage :)
François Boisson
Le #9713821
Le Sun, 17 Feb 2008 14:15:28 +0100
"Luxpopuli Open source"
Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:




Tu devrais faire un chkrootkit et chercher les processus caché (installe
cacheproc
http://boisson.homeip.net/debian/pool/etch/i386/cacheproc_1.0-2_i386.deb

et tape en su

# chercheprocess
ou
# regarde

Tu verras le processus cachés et la ligne de commande. Sans doute un truc
genre suckIT ou autre. Le ssh n'est pas celui de ta machine bien sûr...


François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #9713801
Luxpopuli Open source wrote:
Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!




pas vraiment. de deux choses l'une:
- ta machine est "possédée" (own3d). la, le pirate utilise ses propres
softs. il peut remplacer tous les binaires qu'il veut. par exemple, il
peut remplacer "ls" par une commande qui fait autre chose si on lui
passe une option secrète... Dans ce cas, pas grand chose à faire que de
réinstaller la machine. si tu récupères des données dessus attention à
ne pas remettre n'importe quoi après reinstallation.

- un compte user a été pirtaé. mais une fois un compte piraté, devenir
root devient une possibilité (se rappeler la vulnérabilité récente du
kernel...). franchement, ce n'est pas la peine de perdre son temps avec
cette hypothèse.

- attaque à distance: utilisation d'une faiblesse de l'un des services
qui tournent sur ta machine. un "open proxy" par exemple, ou un service
web mal conçu ou mal sécurisé, ... etc.

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:

j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande
équivalente lancée est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la réponse renvoyée je peux lire ceci:

==================== >
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"x05")%r(DNSVersionBindReq,2,"x05")%r(DNSStatusRequest,2,
SF:"x05")%r(SSLSessionReq,2,"x05")%r(SMBProgNeg,2,"x05")%r(X11Pro
SF:be,2,"x05")%r(LDAPBindReq,2,"x05")%r(TerminalServer,2,"x05")%r
SF:(NotesRPC,2,"x05")%r(WMSRequest,2,"x05");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8%P=i686-
OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W1€00%W2€00%W3€00%W4€00%W5€00%W6€00)ECN(R=Y%DF=Y%T > OS:40%W€18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T@%W€00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R > OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T@%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOSÀ%IPL4%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@%TOSI=S%CD=S%SI=S%D
OS:LI=S)

==================== >
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
référencé comme "unknown").




jabber.
http://www.haypocalc.com/wiki/Liste_des_ports_TCP_et_UDP
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?




si c'est vraiment jabber, bein arrête le. mais regarde si ce n'est pas
un programme malveillant. utilise lsof par exemple.

Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:




LISa.
http://linux.softpedia.com/get/System/Networking/LISa-14180.shtml

7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ?



ça veut dire que nmap "pense" que ce service est protégér par "tcp
wrappers" (qui implémentent des controles d'accès, en gros
/etc/hosts.allow...).

A quel service est-il lié et puis-je le
stopper ?

Je vous remercie pour votre aide






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Luxpopuli Open source
Le #9713781
------=_Part_5107_11282029.1203257669656
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci pour toutes vos réponses pas forcément réjouissante ! ;-)

La commande:

lsof -i

me renvoie tout ce qu'il faut. A propos du port 28011:

gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)

A propos du port 7741:

lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741

Il s'agit de ce service:
http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.rese au.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror

Petite question: est-ce que lsof -i me permettrait de découvrir un servic e
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstal ler
ma machine ?

Pascal

Le 17/02/08, Luxpopuli Open source

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à part ir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autr e
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pa s le
problème, j'ai commencé par supprimer tous les packages liés à SS H

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!

Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:

j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
commande équivalente lancée est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la réponse renvoyée je peux lire ceci:

=====================

Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linu x-gnu%r(RPC
SF:Check,2,"x05")%r(DNSVersionBindReq,2,"x05")%r(DNSStatusRequest,2 ,
SF:"x05")%r(SSLSessionReq,2,"x05")%r(SMBProgNeg,2,"x05")%r(X11Pr o
SF:be,2,"x05")%r(LDAPBindReq,2,"x05")%r(TerminalServer,2,"x05")% r
SF:(NotesRPC,2,"x05")%r(WMSRequest,2,"x05");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=
4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830D8 %P=i686-

OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O1 =M400CST11NW7%O

OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW 7%O6=M400C

OS:ST11)WIN(W1€00%W2€00%W3€00%W4€00%W5€00%W6€00)E CN(R=Y%DF=Y%T=

OS:40%W€18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O%A =S+%F=AS%RD=0%Q=)T

OS:2(R=N)T3(R=Y%DF=Y%T@%W€00%S=O%A=S+%F=AS%O=M400CS T11NW7%RD=0%Q=)T4(R=

OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A

OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O= %RD=0%Q=)T7(R=Y%DF=Y%T=4

OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TO SÀ%IPL4%UN=0%RIPL

OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=4 0%TOSI=S%CD=S%SI=S%D
OS:LI=S)

=====================

Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serai t
pas référencé comme "unknown").

Comment ou que dois-je faire pour avoir des informations sur ce ports ?
Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
etc... ?

Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:

7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le
stopper ?

Je vous remercie pour votre aide

Pascal




--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais







--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai s

------=_Part_5107_11282029.1203257669656
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net :52648-&gt;jabber.mwsp.net:xmpp-client (ESTABLISHED) gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)<br ></p><p>A propos du port 7741:<br></p><p>lisa 2557 root 4u IP v4 4857 TCP *:7741 (LISTEN)<br>lisa 2557 root 5u IP v4 5088 UDP *:7741<br>
J&#39;apprends à la lecture de cet article qu&#39;on accède à l&#39;a ide avec &quot;help:/lisa&quot; tapé dans la barre d&#39;URL de konqueror </p><p>Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d&#39;envisager de réinstaller ma machine ?</p>

<p>Pour ne pas avoir de problèmes avec mon FAI qui m&#39;a également en voyé un mail me menaçant de &quot;faire le nécessaire&quot; (!) si je ne résolvais pas le problème, j&#39;ai commencé par supprimer tous l es packages liés à SSH</p>


<p>Dans la réponse renvoyée je peux lire ceci:</p>

SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux- gnu%r(RPC<br>SF:Check,2,&quot;x05&quot;)%r(DNSVersionBindReq,2,&quot;x0 5&quot;)%r(DNSStatusRequest,2,<br>SF:&quot;x05&quot;)%r(SSLSessionReq, 2,&quot;x05&quot;)%r(SMBProgNeg,2,&quot;x05&quot;)%r(X11Pro<br>

SF:be,2,&quot;x05&quot;)%r(LDAPBindReq,2,&quot;x05&quot;)%r(TerminalS erver,2,&quot;x05&quot;)%r
OS details: Linux 2.6.17 - 2.6.21
OS:ST11)WIN(W1€00%W2€00%W3€00%W4€00%W5€00%W6€00)ECN (R=Y%DF=Y%T=<br>OS:40%W€18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%D F=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T<br>OS:2(R=N)T3(R=Y%DF= Y%T@%W€00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=< br>

OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y %T@%W=0%S=Z%A=S+%F=A<br>OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T @%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4<br>OS: 0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOS=C 0%IPL4%UN=0%RIPL<br>

OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@% TOSI=S%CD=S%SI=S%D

<p>7741/tcp open tcpwrapped</p><p>Qu&#39;est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ?</p><p>Je vous remercie pour votre aide</p><p>Pascal</p><span class="sg"><p><br><br></p><br>-- <b r>

------=_Part_5107_11282029.1203257669656--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Luxpopuli Open source
Le #9713771
------=_Part_5127_5825495.1203258338664
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Me confirmez-vous que la personne qui utilise ma machine pour lancer ses
attaques SSH ouvre forcément un port ?
Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du p ort
22

Si elle ouvre forcément un port je peux toujours contrôler fréquemmen t les
ports utilisés avec lsof -i

Pour l'instant, cette commande ne me renvoie que des services connus. J'en
conclus que actuellement ma machine n'est pas utilisée par l'intru. Ai-je
raison de penser cela ?

Pascal

Le 17/02/08, Luxpopuli Open source

Merci pour toutes vos réponses pas forcément réjouissante ! ;-)

La commande:

lsof -i

me renvoie tout ce qu'il faut. A propos du port 28011:

gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->
a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->
jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->
80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)

A propos du port 7741:

lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741

Il s'agit de ce service:
http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.re seau.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec
"help:/lisa" tapé dans la barre d'URL de konqueror

Petite question: est-ce que lsof -i me permettrait de découvrir un serv ice
ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinst aller
ma machine ?

Pascal

Le 17/02/08, Luxpopuli Open source >
> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à pa rtir
> de ma machine, des attaques SSH. Au moins deux personnes (une aux USA
> l'autre en espagne) m'ont fait parvenir des logs prouvant que des tenta tives
> de connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoy é un
> mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le
> problème, j'ai commencé par supprimer tous les packages liés à SSH
>
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce s i sûr
> ?!
>
> Avant de comprendre comment remttre en fonctionnement un client et un
> serveur SSH sur ma machine, je voudrais résoudre ce premier point:
>
> j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La
> commande équivalente lancée est:
>
> nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
>
> Dans la réponse renvoyée je peux lire ceci:
>
> =====================
>
> Discovered open port 28011/tcp on 82.67.66.131
> 28011/tcp open unknown
> 1 service unrecognized despite returning data. If you know the
> service/version, please submit the following fingerprint at
> http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
> SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-li nux-gnu%r
> (RPC
>
> SF:Check,2,"x05")%r(DNSVersionBindReq,2,"x05")%r(DNSStatusRequest ,2,
>
> SF:"x05")%r(SSLSessionReq,2,"x05")%r(SMBProgNeg,2,"x05")%r(X11 Pro
>
> SF:be,2,"x05")%r(LDAPBindReq,2,"x05")%r(TerminalServer,2,"x05" )%r
> SF:(NotesRPC,2,"x05")%r(WMSRequest,2,"x05");
> Device type: general purpose
> Running: Linux 2.6.X
> OS details: Linux 2.6.17 - 2.6.21
> OS Fingerprint:
> OS:SCAN(V=
> 4.53%D=2/17%OT%%CT=1%CUC223%PV=N%DS=0%G=Y%TMGB830 D8%P=i686-
>
> OS:pc-linux-gnu)SEQ(SPÂ%GCD=1%ISRÆ%TI=Z%II=I%TS=A)OPS(O 1=M400CST11NW7%O
>
> OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11 NW7%O6=M400C
>
> OS:ST11)WIN(W1€00%W2€00%W3€00%W4€00%W5€00%W6€00 )ECN(R=Y%DF=Y%T=
>
> OS:40%W€18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T@%S=O %A=S+%F=AS%RD=0%Q=)T
>
> OS:2(R=N)T3(R=Y%DF=Y%T@%W€00%S=O%A=S+%F=AS%O=M400 CST11NW7%RD=0%Q=)T4(R=
>
> OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T@%W=0%S=Z%A=S+%F=A
>
> OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O =%RD=0%Q=)T7(R=Y%DF=Y%T=4
>
> OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@% TOSÀ%IPL4%UN=0%RIPL
>
> OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T @%TOSI=S%CD=S%SI=S%D
> OS:LI=S)
>
> =====================
>
> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne ser ait
> pas référencé comme "unknown").
>
> Comment ou que dois-je faire pour avoir des informations sur ce ports ?
> Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer ,
> etc... ?
>
> Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
>
> 7741/tcp open tcpwrapped
>
> Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis- je
> le stopper ?
>
> Je vous remercie pour votre aide
>
> Pascal
>
>
>
>
> --
> http://www.luxpopuli.fr - documentation de eZ Publish traduite en
> français




--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en franç ais







--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai s

------=_Part_5127_5825495.1203258338664
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<p>Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ?<br>Dans les logs que l&#39;on m&# 39;a fait parvenir il s&#39;agissait à chaque fois du port 22<br></p><p>S i elle ouvre forcément un port je peux toujours contr<span>ôler fréqu emment les ports utilisés avec lsof -i</span></p>

gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net :52648-&gt;jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)<br ></p><p>A propos du port 7741:<br></p><p>lisa 2557 root 4u IP v4 4857 TCP *:7741 (LISTEN)<br>lisa 2557 root 5u IP v4 5088 UDP *:7741<br>


J&#39;apprends à la lecture de cet article qu&#39;on accède à l&#39;a ide avec &quot;help:/lisa&quot; tapé dans la barre d&#39;URL de konqueror </p><p>Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d&#39;envisager de réinstaller ma machine ?</p>



<p>Pour ne pas avoir de problèmes avec mon FAI qui m&#39;a également en voyé un mail me menaçant de &quot;faire le nécessaire&quot; (!) si je ne résolvais pas le problème, j&#39;ai commencé par supprimer tous l es packages liés à SSH</p>





<p>Dans la réponse renvoyée je peux lire ceci:</p>


SF-Port28011-TCP:V=4.53%I=7%D=2/17%TimeGB830B8%P=i686-pc-linux- gnu%r(RPC<br>SF:Check,2,&quot;x05&quot;)%r(DNSVersionBindReq,2,&quot;x0 5&quot;)%r(DNSStatusRequest,2,<br>SF:&quot;x05&quot;)%r(SSLSessionReq, 2,&quot;x05&quot;)%r(SMBProgNeg,2,&quot;x05&quot;)%r(X11Pro<br>


SF:be,2,&quot;x05&quot;)%r(LDAPBindReq,2,&quot;x05&quot;)%r(TerminalS erver,2,&quot;x05&quot;)%r

OS details: Linux 2.6.17 - 2.6.21

OS:ST11)WIN(W1€00%W2€00%W3€00%W4€00%W5€00%W6€00)ECN (R=Y%DF=Y%T=<br>OS:40%W€18%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%D F=Y%T@%S=O%A=S+%F=AS%RD=0%Q=)T<br>OS:2(R=N)T3(R=Y%DF= Y%T@%W€00%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=< br>


OS:Y%DF=Y%T@%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y %T@%W=0%S=Z%A=S+%F=A<br>OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T @%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4<br>OS: 0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T@%TOS=C 0%IPL4%UN=0%RIPL<br>


OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T@% TOSI=S%CD=S%SI=S%D



<p>7741/tcp open tcpwrapped</p><p>Qu&#39;est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ?</p><p>Je vous remercie pour votre aide</p><p>Pascal</p><span><p><br><br></p><br>-- <br>

------=_Part_5127_5825495.1203258338664--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Le #9713761
Bonjour,


Le dimanche 17 février 2008, Luxpopuli Open source a écrit...


Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
?!



Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant de
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera sain
après tes analyses et tes purges éventuelles. La méthode la plus sûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Luxpopuli Open source
Le #9713751
------=_Part_5135_12736736.1203258899249
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour Jean-Michel,

J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:

http://www.linuxorable.fr/tmp/rkhunter.log

http://www.linuxorable.fr/tmp/chkrootkit.log

Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant d ans
ces logs.

Pascal

Le 17/02/08, Jean-Michel OLTRA


Bonjour,


Le dimanche 17 février 2008, Luxpopuli Open source a écrit...


> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps r soudre d finitivement le probl me. Mais est-ce si s r
> ?!

Je souscris aux différentes réponses précédentes. Tu peux tenter un
chkrootkit, ou rkhunter, pour essayer de débusquer le coupable, avant d e
réinstaller. Mais bon, il ne sera jamais sûr que ton système sera s ain
après tes analyses et tes purges éventuelles. La méthode la plus s ûre
reste la réinstallation. Je crois que F. Boisson a également un
utilitaire qui permet de traquer les processus indélicats.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact







--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en françai s

------=_Part_5135_12736736.1203258899249
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

&gt; ?! après tes analyses et tes purges éventuelles. La méthode la plus sû re A.E.L. Sarl (R.C.S CASTRES 490843240) Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et with a subject of &quot;unsubscribe&quot;. Trouble? Contact
------=_Part_5135_12736736.1203258899249--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #9713731
Le Sun, 17 Feb 2008 15:34:59 +0100
"Luxpopuli Open source"
Bonjour Jean-Michel,

J'ai déjà effectué (hier) les deux tests chkrootkit et rkhunter dont le
résultat des logs est ici:

http://www.linuxorable.fr/tmp/rkhunter.log

http://www.linuxorable.fr/tmp/chkrootkit.log

Je ne suis pas du tout un expert mais je n'ai rien détecté d'alarmant dans
ces logs.




Une bonne méthode est de faire ces commandes pour voir les fichiers corrompus:

$ cd /tmp
$ cat /var/lib/dpkg/info/*.md5sums | sort -u > MD5-ORG
$ cd /
$ cat /tmp/MD5-ORG | awk '{print "md5sum "$2}' | grep -v -E "^md5sum *$" > /tmp/gre
$ sh /tmp/gre > /tmp/MD5
$ cd /tmp
$ diff -urN MD5-ORG MD5

Tu auras la liste des fichiers différent de ceux des paquets installés.

François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Le #9713721
Bonjour,


Le dimanche 17 février 2008, Luxpopuli Open source a écrit...


Merci pour toutes vos r ponses pas forc ment r jouissante ! ;-)



La commande:



lsof -i



Tu ne peux te fier à aucun binaire de ta machine. Il te faut utiliser
des binaires non corrompus, pour ce faire. Donc, inutile de lancer un
netstat, ou lsof, ou fuser, ou n'importe quoi pour faire un diagnostic.
Sauf si le binaire est sûr.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme