Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name
LISTEN -
Or, je n'ai aucune idée du programme qui ouvre ce port :
- netstat ne me dit rien, même pas le PID de ce programme,
- Google ne trouve rien de particulier concernant l'utilisation de
ce port
- Une connexion telnet ne renvoie rien (ou presque, juste un caractère
cabalistique à la connexion).
- inetd ne semble pas être responsabe (aucune entrée dans inetd.conf).
Suite à la connexion telnet, j'ai une entrée dans /proc/net/tcp mais je
suis pas convaincu que cela puisse me servir (d'autant que je ne sais
pas l'interpréter plus que ça).
Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?
Merci d'avance.
--
Fais moi une place dans ton linceul, quand y'en pour un y'en a pour
deux. Fais moi une place dans ton linceul, pour un coup de dent, je
t'arrache les yeux. (H.F.T. Scènes de panique tranquille)
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name LISTEN -
Comment faire pour retrouver le responsable et lui couper la tête si nécessaire ?
Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle commencera par quelque chose du style :
00000000:4001
(4001 est 16385 en hexadécimal)
Un des champs est le numéro d'inode de la socket correspondante. Avec ma version du noyau, c'est le dixième. C'est un grand nombre en décimal.
Ensuite, tu cherches dans les différents /proc/*/fd la socket qui pointe vers cet inode :
Doug713705 wrote in message <i1eok1$2vsc$1@talisker.lacave.net>:
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name
LISTEN -
Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?
Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu
cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle
commencera par quelque chose du style :
00000000:4001
(4001 est 16385 en hexadécimal)
Un des champs est le numéro d'inode de la socket correspondante. Avec ma
version du noyau, c'est le dixième. C'est un grand nombre en décimal.
Ensuite, tu cherches dans les différents /proc/*/fd la socket qui pointe
vers cet inode :
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name LISTEN -
Comment faire pour retrouver le responsable et lui couper la tête si nécessaire ?
Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle commencera par quelque chose du style :
00000000:4001
(4001 est 16385 en hexadécimal)
Un des champs est le numéro d'inode de la socket correspondante. Avec ma version du noyau, c'est le dixième. C'est un grand nombre en décimal.
Ensuite, tu cherches dans les différents /proc/*/fd la socket qui pointe vers cet inode :
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name LISTEN -
Or, je n'ai aucune idée du programme qui ouvre ce port : - netstat ne me dit rien, même pas le PID de ce programme, - Google ne trouve rien de particulier concernant l'utilisation de ce port - Une connexion telnet ne renvoie rien (ou presque, juste un caractère cabalistique à la connexion). - inetd ne semble pas être responsabe (aucune entrée dans inetd.conf).
Suite à la connexion telnet, j'ai une entrée dans /proc/net/tcp mais je suis pas convaincu que cela puisse me servir (d'autant que je ne sais pas l'interpréter plus que ça).
Comment faire pour retrouver le responsable et lui couper la tête si nécessaire ?
Merci d'avance.
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name
LISTEN -
Or, je n'ai aucune idée du programme qui ouvre ce port :
- netstat ne me dit rien, même pas le PID de ce programme,
- Google ne trouve rien de particulier concernant l'utilisation de
ce port
- Une connexion telnet ne renvoie rien (ou presque, juste un caractère
cabalistique à la connexion).
- inetd ne semble pas être responsabe (aucune entrée dans inetd.conf).
Suite à la connexion telnet, j'ai une entrée dans /proc/net/tcp mais je
suis pas convaincu que cela puisse me servir (d'autant que je ne sais
pas l'interpréter plus que ça).
Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name LISTEN -
Or, je n'ai aucune idée du programme qui ouvre ce port : - netstat ne me dit rien, même pas le PID de ce programme, - Google ne trouve rien de particulier concernant l'utilisation de ce port - Une connexion telnet ne renvoie rien (ou presque, juste un caractère cabalistique à la connexion). - inetd ne semble pas être responsabe (aucune entrée dans inetd.conf).
Suite à la connexion telnet, j'ai une entrée dans /proc/net/tcp mais je suis pas convaincu que cela puisse me servir (d'autant que je ne sais pas l'interpréter plus que ça).
Comment faire pour retrouver le responsable et lui couper la tête si nécessaire ?
Merci d'avance.
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Doug713705
Le 12/7/2010 12:13 dans fr.comp.os.linux.configuration Nicolas George nous expliquait:
Doug713705 wrote in message <i1eok1$2vsc$:
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name LISTEN -
Comment faire pour retrouver le responsable et lui couper la tête si nécessaire ?
Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle commencera par quelque chose du style :
00000000:4001
(4001 est 16385 en hexadécimal)
J'y avais bien pensé mais c'est la suite qui coince.
Un des champs est le numéro d'inode de la socket correspondante. Avec ma version du noyau, c'est le dixième. C'est un grand nombre en décimal.
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis au bord du reboot !
Par ailleurs, cela fait maintenant 2 heures que les connexions telnet vers ce daemon mystérieux sont en CLOSE_WAIT alors que j'aavais fermé proprement les connexions avec un beau ^] qui m'a bien rendu la main comme il se doit.
-- "Allô SOS Amitié, Allô SOS Amitié ? Excusez-moi de vous déranger mais si j'peux encore vous causer, c'est qu' mon pétard est enrayé. Allô SOS Amitié, Allô SOS Amitié ? Je crois bien qu'ça vient du chargeur. Est-ce que vous pouvez m'envoyer assez rapidement le dépanneur ? (H.F.T. Taxiphonant d'un pack de Kro)
Le 12/7/2010 12:13 dans fr.comp.os.linux.configuration Nicolas George
nous expliquait:
Doug713705 wrote in message <i1eok1$2vsc$1@talisker.lacave.net>:
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name
LISTEN -
Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?
Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu
cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle
commencera par quelque chose du style :
00000000:4001
(4001 est 16385 en hexadécimal)
J'y avais bien pensé mais c'est la suite qui coince.
Un des champs est le numéro d'inode de la socket correspondante. Avec ma
version du noyau, c'est le dixième. C'est un grand nombre en décimal.
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis
au bord du reboot !
Par ailleurs, cela fait maintenant 2 heures que les connexions telnet
vers ce daemon mystérieux sont en CLOSE_WAIT alors que j'aavais fermé
proprement les connexions avec un beau ^] qui m'a bien rendu la main
comme il se doit.
--
"Allô SOS Amitié, Allô SOS Amitié ? Excusez-moi de vous déranger mais
si j'peux encore vous causer, c'est qu' mon pétard est enrayé. Allô SOS
Amitié, Allô SOS Amitié ? Je crois bien qu'ça vient du chargeur. Est-ce
que vous pouvez m'envoyer assez rapidement le dépanneur ? (H.F.T.
Taxiphonant d'un pack de Kro)
Le 12/7/2010 12:13 dans fr.comp.os.linux.configuration Nicolas George nous expliquait:
Doug713705 wrote in message <i1eok1$2vsc$:
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
~# netstat -anptu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:16385 0.0.0.0:*
State PID/Program name LISTEN -
Comment faire pour retrouver le responsable et lui couper la tête si nécessaire ?
Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle commencera par quelque chose du style :
00000000:4001
(4001 est 16385 en hexadécimal)
J'y avais bien pensé mais c'est la suite qui coince.
Un des champs est le numéro d'inode de la socket correspondante. Avec ma version du noyau, c'est le dixième. C'est un grand nombre en décimal.
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis au bord du reboot !
Par ailleurs, cela fait maintenant 2 heures que les connexions telnet vers ce daemon mystérieux sont en CLOSE_WAIT alors que j'aavais fermé proprement les connexions avec un beau ^] qui m'a bien rendu la main comme il se doit.
-- "Allô SOS Amitié, Allô SOS Amitié ? Excusez-moi de vous déranger mais si j'peux encore vous causer, c'est qu' mon pétard est enrayé. Allô SOS Amitié, Allô SOS Amitié ? Je crois bien qu'ça vient du chargeur. Est-ce que vous pouvez m'envoyer assez rapidement le dépanneur ? (H.F.T. Taxiphonant d'un pack de Kro)
Doug713705
Le 12/7/2010 12:40 dans fr.comp.os.linux.configuration olafkewl nous expliquait:
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Pas bête, je n'y avais pas pensé mais résultat négatif. Rien en sortie. -- Je sais que, désormais, vivre est un calembour. La mort est devenue un état permanent. Le monde est aux fantômes, aux hyènes et aux vautours. (H.F.T. Alligator 427)
Le 12/7/2010 12:40 dans fr.comp.os.linux.configuration olafkewl nous
expliquait:
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Pas bête, je n'y avais pas pensé mais résultat négatif.
Rien en sortie.
--
Je sais que, désormais, vivre est un calembour. La mort est devenue un
état permanent. Le monde est aux fantômes, aux hyènes et aux vautours.
(H.F.T. Alligator 427)
Le 12/7/2010 12:40 dans fr.comp.os.linux.configuration olafkewl nous expliquait:
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Pas bête, je n'y avais pas pensé mais résultat négatif. Rien en sortie. -- Je sais que, désormais, vivre est un calembour. La mort est devenue un état permanent. Le monde est aux fantômes, aux hyènes et aux vautours. (H.F.T. Alligator 427)
Doug713705
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous expliquait:
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis au bord du reboot !
Bon, après reboot, le port est toujours ouvert (les connexions en CLOSE_WAIT ont bien évidemment disparues).
-- Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage pour les Galapagos.", et je te dis "Reviens on s'en va mon amour, recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto Cha)
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous
expliquait:
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis
au bord du reboot !
Bon, après reboot, le port est toujours ouvert (les connexions en
CLOSE_WAIT ont bien évidemment disparues).
--
Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage
pour les Galapagos.", et je te dis "Reviens on s'en va mon amour,
recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto
Cha)
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous expliquait:
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis au bord du reboot !
Bon, après reboot, le port est toujours ouvert (les connexions en CLOSE_WAIT ont bien évidemment disparues).
-- Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage pour les Galapagos.", et je te dis "Reviens on s'en va mon amour, recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto Cha)
Doug713705
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous expliquait:
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis au bord du reboot !
Bon, après reboot, le port est toujours ouvert (les connexions en CLOSE_WAIT ont bien évidemment disparu).
-- Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage pour les Galapagos.", et je te dis "Reviens on s'en va mon amour, recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto Cha)
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous
expliquait:
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis
au bord du reboot !
Bon, après reboot, le port est toujours ouvert (les connexions en
CLOSE_WAIT ont bien évidemment disparu).
--
Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage
pour les Galapagos.", et je te dis "Reviens on s'en va mon amour,
recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto
Cha)
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous expliquait:
M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis au bord du reboot !
Bon, après reboot, le port est toujours ouvert (les connexions en CLOSE_WAIT ont bien évidemment disparu).
-- Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage pour les Galapagos.", et je te dis "Reviens on s'en va mon amour, recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto Cha)
Nicolas George
Doug713705 wrote in message <i1eseg$5if$:
Bon, après reboot, le port est toujours ouvert
C'est inquiétant. Si tu bootes en init=/bin/sh, est-ce qu'il l'est toujours ? (Il faut bien sûr monter /proc pour que netstat marche.)
Doug713705 wrote in message <i1eseg$5if$1@talisker.lacave.net>:
Bon, après reboot, le port est toujours ouvert
C'est inquiétant. Si tu bootes en init=/bin/sh, est-ce qu'il l'est
toujours ? (Il faut bien sûr monter /proc pour que netstat marche.)
Le 12/07/2010 12:40, olafkewl a fait rien qu'à écrire:
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
(...)
Angoissant, ça, quand même..
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Et un 'fuser -n tcp 16385 -v' ?
-- christophe.
Doug713705
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration xtof pernod nous expliquait:
Le 12/07/2010 12:40, olafkewl a fait rien qu'à écrire:
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
(...)
Angoissant, ça, quand même..
Comme tu dis.
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Et un 'fuser -n tcp 16385 -v' ?
Pas mieux, sortie vide.
-- Et nous avions des gueules à briser les miroirs, à ne montrer nos yeux que dans le contre-jour. Mais entre deux délires, entre deux idées noires, nous étions les plus beaux, nous vivions à rebours. (H.F.T. Exil sur planète fantôme)
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration xtof pernod nous
expliquait:
Le 12/07/2010 12:40, olafkewl a fait rien qu'à écrire:
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
(...)
Angoissant, ça, quand même..
Comme tu dis.
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Et un 'fuser -n tcp 16385 -v' ?
Pas mieux, sortie vide.
--
Et nous avions des gueules à briser les miroirs, à ne montrer nos yeux
que dans le contre-jour. Mais entre deux délires, entre deux idées
noires, nous étions les plus beaux, nous vivions à rebours. (H.F.T.
Exil sur planète fantôme)
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration xtof pernod nous expliquait:
Le 12/07/2010 12:40, olafkewl a fait rien qu'à écrire:
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.
(...)
Angoissant, ça, quand même..
Comme tu dis.
Est ce qu'un 'lsof -i:16385' te donne des infos ?
Et un 'fuser -n tcp 16385 -v' ?
Pas mieux, sortie vide.
-- Et nous avions des gueules à briser les miroirs, à ne montrer nos yeux que dans le contre-jour. Mais entre deux délires, entre deux idées noires, nous étions les plus beaux, nous vivions à rebours. (H.F.T. Exil sur planète fantôme)
Doug713705
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration Nicolas George nous expliquait:
Bon, après reboot, le port est toujours ouvert
C'est inquiétant.
Pour le moins !
Si tu bootes en init=/bin/sh, est-ce qu'il l'est toujours ?
Oui, c'est le seul qui reste et toujours avec le même numéro d'inode mais toujours impossible de mettre la main sur la socket correspondante.
chkrootkit n'a rien trouvé.
-- Reprends tes walkyries pour tes valseurs maso ,mon cheval écorché m'appelle au fond d'un bar. Et cet ange qui me gueule : "viens chez moi, mon salaud" m'invite à faire danser l'aiguille de mon radar. (H.F.T. Les dingues et les paumés)
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration Nicolas George
nous expliquait:
Bon, après reboot, le port est toujours ouvert
C'est inquiétant.
Pour le moins !
Si tu bootes en init=/bin/sh, est-ce qu'il l'est
toujours ?
Oui, c'est le seul qui reste et toujours avec le même numéro d'inode
mais toujours impossible de mettre la main sur la socket correspondante.
chkrootkit n'a rien trouvé.
--
Reprends tes walkyries pour tes valseurs maso ,mon cheval écorché
m'appelle au fond d'un bar. Et cet ange qui me gueule : "viens chez
moi, mon salaud" m'invite à faire danser l'aiguille de mon radar.
(H.F.T. Les dingues et les paumés)
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration Nicolas George nous expliquait:
Bon, après reboot, le port est toujours ouvert
C'est inquiétant.
Pour le moins !
Si tu bootes en init=/bin/sh, est-ce qu'il l'est toujours ?
Oui, c'est le seul qui reste et toujours avec le même numéro d'inode mais toujours impossible de mettre la main sur la socket correspondante.
chkrootkit n'a rien trouvé.
-- Reprends tes walkyries pour tes valseurs maso ,mon cheval écorché m'appelle au fond d'un bar. Et cet ange qui me gueule : "viens chez moi, mon salaud" m'invite à faire danser l'aiguille de mon radar. (H.F.T. Les dingues et les paumés)
