serveur infecté?

Le
david .
=_Part_16021_4254606.1197116310023
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour à tous

J'ai récement acquis un vieux pc et j'ai voulu tenter l'expérience "ser=
veur"
et j'en suis aujourd'hui très content mais il y a apparement un petit hic=
.
J'ai voulu vérifier si mon serveur n'était pas infecté avec chkrootki=
t et il
me retourne des résultats inquiétants comme:

eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])
Checking `bindshell' INFECTED (PORTS: 1524 4000 4369 6667 31337


En faisant des recherches, la ligne concernant bindshell ne serait, à
priori, pas inquiétante.en ce qui concerne eth1 je ne trouve pas grand
chose.

Voici ce que me retourne la commande /usr/sbin/chkrootkit -q | /bin/grep -v=
E
'(eth[0-9]+:*[0-9]* *is not promisc)' :

The following suspicious files and directories were found:

> /lib/init/rw/.ramfs
>
> INFECTED (PORTS: 1524 4000 4369 6667 31337)
> eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])
> Warning: Possible Scalper Worm installed
>

Je me suis donc tout de suite empressé d'installer clamav (j'ai bien mis
clamav à jour) pour faire le menage et il ne trouve rien (clamscan -ri /)
Pour info je n'ai pas de parefeu sur le système mais sur ma box.

J'ai aussi passé rkhunter et lui par contre ne trouve rien.

Je m'en remet à vous oOh! grands gouroux de debian :D

Bonne journée

=_Part_16021_4254606.1197116310023
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour à tous<br><br>J&#39;ai récement acquis un vieux pc et j&#39;ai =
voulu tenter l&#39;expérience &quot;serveur&quot; et j&#39;en suis aujour=
d&#39;hui très content mais il y a apparement un petit hic. <br>J&#39;ai =
voulu vérifier si mon serveur n&#39;était pas infecté avec chkrootkit=
et il me retourne des résultats inquiétants comme:
<br><br><blockquote>eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/i=
ftop[3021])<br>Checking `bindshell&#39; INFECTED (PORTS:&nbsp; 1524 4000=
4369 6667 31337<br></blockquote><br>En faisant des recherches, la ligne co=
ncernant bindshell ne serait, à priori, pas inquiétante.en ce qui co=
ncerne eth1 je ne trouve pas grand chose.
<br><br>Voici ce que me retourne la commande /usr/sbin/chkrootkit -q | /bin=
/grep -vE &#39;(eth[0-9]+:*[0-9]* *is not promisc)&#39; :<br><br>&nbsp;&nbs=
p;&nbsp; The following suspicious files and directories were found:<br><blo=
ckquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt=
0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">
/lib/init/rw/.ramfs<br><br>INFECTED (PORTS:&nbsp; 1524 4000 4369 6667 31337=
)<br>eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])<br>=
Warning: Possible Scalper Worm installed<br></blockquote><br>Je me suis don=
c tout de suite empressé d&#39;installer clamav (j&#39;ai bien mis clamav=
à jour) pour faire le menage et il ne trouve rien (clamscan -ri /)
<br>Pour info je n&#39;ai pas de parefeu sur le système mais sur ma box.<=
br><br>J&#39;ai aussi passé rkhunter et lui par contre ne trouve rien.<br=
><br>Je m&#39;en remet à vous oOh! grands gouroux de debian :D<br><br>Bon=
ne journée
<br><br><br>

=_Part_16021_4254606.1197116310023--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #9733761
david . a écrit :
...
> INFECTED (PORTS: 1524 4000 4369 6667 31337)
eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])
Warning: Possible Scalper Worm installed



il les prend tous les 2 pour des sniffers... ce qui est qq part vrai:
dhclient3 sniffe les packets de proposition de lease, et iftop sniffe
tout puisqu'il sert à afficher les infos de bande passante sur une I/F réseau

Je me suis donc tout de suite empressé d'installer clamav (j'ai bien mis
clamav à jour) pour faire le menage et il ne trouve rien (clamscan -r i /)
Pour info je n'ai pas de parefeu sur le système mais sur ma box.



ça ne peut pas faire de mal et tu peux ajouter un crontab pour qu'il ai lle
faire un scan des binaires pendant la nuit si ça te sécurise.

j'ai laissé tomber chkrootkit à cause de cela: beaucoup trop de faux positifs.
D'ailleurs il n'y-a, d'habitude, que des packages standards sur un serveu r,
donc le risque d'infection est réduit; en plus il est dans ton LAN, ce qui
réduit encore les risques (personnels, pas professionnels:)
--
Go not to the elves for counsel, for they will say both yes and no.
-- J.R.R. Tolkien
david .
Le #9733461
------=_Part_19495_20419688.1197241362870
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci pour vos réponses, je suis rassuré.

Bonne semaine à tous

Le 09/12/07, Pierre

chkrootkit m'informe souvent de faux probleme, et parfois ne trouve pas
de probleme que j'ai tenté de provoquer
je trouve rhkunhter plus efficace, détecte mes pièges et ne m'informe pas
pour des bétises.

david . a écrit :

Bonjour à tous

J'ai récement acquis un vieux pc et j'ai voulu tenter l'expérience
"serveur" et j'en suis aujourd'hui très content mais il y a apparement un
petit hic.
J'ai voulu vérifier si mon serveur n'était pas infecté avec chkroot kit et
il me retourne des résultats inquiétants comme:

eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])
Checking `bindshell'... INFECTED (PORTS: 1524 4000 4369 6667 31337


En faisant des recherches, la ligne concernant bindshell ne serait, à
priori, pas inquiétante....en ce qui concerne eth1 je ne trouve pas gra nd
chose.

Voici ce que me retourne la commande /usr/sbin/chkrootkit -q | /bin/grep
-vE '(eth[0-9]+:*[0-9]* *is not promisc)' :

The following suspicious files and directories were found:

> /lib/init/rw/.ramfs
>
> INFECTED (PORTS: 1524 4000 4369 6667 31337)
> eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])
> Warning: Possible Scalper Worm installed
>

Je me suis donc tout de suite empressé d'installer clamav (j'ai bien mi s
clamav à jour) pour faire le menage et il ne trouve rien (clamscan -ri /)
Pour info je n'ai pas de parefeu sur le système mais sur ma box.

J'ai aussi passé rkhunter et lui par contre ne trouve rien.

Je m'en remet à vous oOh! grands gouroux de debian :D

Bonne journée



-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to
with a subject of
"unsubscribe". Trouble? Contact






--

Palmito alias David, Webmaster de www.aidinux.org

------=_Part_19495_20419688.1197241362870
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci pour vos réponses, je suis rassuré.




<div bgcolor="#ffffff" text="#000000">
chkrootkit m&#39;informe souvent de faux probleme, et parfois ne trouve pas
de probleme que j&#39;ai tenté de provoquer<br>
je trouve rhkunhter plus efficace, détecte mes pièges et ne m&#39;infor me
pas pour des bétises.<br>
<br>
david . a écrit&nbsp;:
<div><span class="e" id="q_116c061e5d8209bf_1"><blockquote type="cite ">Bonjour à tous<br>
<br>
J&#39;ai récement acquis un vieux pc et j&#39;ai voulu tenter l&#39;exp érience
&quot;serveur&quot; et j&#39;en suis aujourd&#39;hui très content mais il y a apparement
un petit hic. <br>
J&#39;ai voulu vérifier si mon serveur n&#39;était pas infecté avec c hkrootkit
et il me retourne des résultats inquiétants comme:
<br>
<br>
<blockquote>eth1: PACKET SNIFFER(/sbin/dhclient3[1823],
/usr/sbin/iftop[3021])<br>
Checking `bindshell&#39;... INFECTED (PORTS:&nbsp; 1524 4000 4369 6667 3133 7<br>
</blockquote>
<br>
En faisant des recherches, la ligne concernant bindshell ne serait, à
priori, pas inquiétante....en ce qui concerne eth1 je ne trouve pas
grand chose.
<br>
<br>
Voici ce que me retourne la commande /usr/sbin/chkrootkit -q |
/bin/grep -vE &#39;(eth[0-9]+:*[0-9]* *is not promisc)&#39; :<br>
<br>
&nbsp;&nbsp;&nbsp; The following suspicious files and directories were foun d:<br>
<br>
INFECTED (PORTS:&nbsp; 1524 4000 4369 6667 31337)<br>
eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])<br>
Warning: Possible Scalper Worm installed<br>
</blockquote>
<br>
Je me suis donc tout de suite empressé d&#39;installer clamav (j&#39;ai b ien
mis clamav à jour) pour faire le menage et il ne trouve rien (clamscan
-ri /)
<br>
Pour info je n&#39;ai pas de parefeu sur le système mais sur ma box.<br>
<br>
J&#39;ai aussi passé rkhunter et lui par contre ne trouve rien.<br>
<br>
Je m&#39;en remet à vous oOh! grands gouroux de debian :D<br>
<br>
Bonne journée
<br>
<br>
<br>
</blockquote>
<br>
</span></div></div>



--
Lisez la FAQ de la liste avant de poser une question :
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et
&quot;Reply-To:&quot;

To UNSUBSCRIBE, email to with a subject of &quot;unsubscribe&quot;. Trouble? Contact

------=_Part_19495_20419688.1197241362870--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme