Je fais donc immédiatement un netstat -taupe mais le port 600 ne semble
pas ouvert.
Les ports ouverts semblent correspondre aux services que j'utilise
habituelleme,t sur cette machine.
Ma recherche sur google sur ce sujet n'a pas été très fructueuse,
j'ai bien trouvé quelques pistes en anglais mais qui ne me donnent pas
grand chose.
Une recherche sur le port 600 en français ne m'a pas aidé non plus.
En relançant ce matin chkrootkit ne trouve rien (a part le serveur dhcp
de mon routeur mais la c'est normal).
la consultation de /var/auth/log ne signale rien d'anormal (il n'y a que
2 utilisateurs sur cette machine).
J'ai questionné l'autre utilisateur il n'a rien reçu de particulier
(mail avec pièce jointe, fichier ...) dans les derniers jours.
a votre avis,
Est-ce une fausse alerte ?
Que puis-je vérifier d'autre ? logs ? lesquels ?
P-S : je suis sous Debian Sarge.
Merci d'avance de toute aide.
Marian Robusti
--
"Battons nous tous les jours pour un monde plus libre et plus juste"
Effectuer un tcpdump sur plusieurs heures, si possible à distance (en téléexéctuant le tcpdump depuis une machine saine) puis analyser en tentant de répérer toute activité illégitime.
Repasser le chkrootkit en suivant les même précaution : téélexécution depuis une machine saine.
db
--
Courriel : usenet blas net
Bonjour,
en lisant le résultat d'un cron d'hier soir je vois que chkrootkit
aurait détecté un port infecté le 600.
résultat du cron :
Effectuer un tcpdump sur plusieurs heures, si possible à distance (en
téléexéctuant le tcpdump depuis une machine saine) puis analyser en
tentant de répérer toute activité illégitime.
Repasser le chkrootkit en suivant les même précaution : téélexécution
depuis une machine saine.
Effectuer un tcpdump sur plusieurs heures, si possible à distance (en téléexéctuant le tcpdump depuis une machine saine) puis analyser en tentant de répérer toute activité illégitime.
Repasser le chkrootkit en suivant les même précaution : téélexécution depuis une machine saine.
db
--
Courriel : usenet blas net
pingu-en-banquise-moOolante
Bonjour,
en lisant le résultat d'un cron d'hier soir je vois que chkrootkit aurait détecté un port infecté le 600. résultat du cron :
Effectuer un tcpdump sur plusieurs heures, si possible à distance (en téléexéctuant le tcpdump depuis une machine saine) puis analyser en tentant de répérer toute activité illégitime.
Repasser le chkrootkit en suivant les même précaution : téélexécution depuis une machine saine.
db
A priori c'était du a famd, qui ne m'étais pas utile sur cette machine, je l'ai désinstallé mais je continue à surveiller.
Merci -- "Battons nous tous les jours pour un monde plus libre et plus juste"
http://www.knoppix-fr.org http://www.linucie.net
Bonjour,
en lisant le résultat d'un cron d'hier soir je vois que chkrootkit
aurait détecté un port infecté le 600.
résultat du cron :
Effectuer un tcpdump sur plusieurs heures, si possible à distance (en
téléexéctuant le tcpdump depuis une machine saine) puis analyser en
tentant de répérer toute activité illégitime.
Repasser le chkrootkit en suivant les même précaution : téélexécution
depuis une machine saine.
db
A priori c'était du a famd, qui ne m'étais pas utile sur cette machine,
je l'ai désinstallé mais je continue à surveiller.
Merci
--
"Battons nous tous les jours pour un monde plus libre et plus juste"
Effectuer un tcpdump sur plusieurs heures, si possible à distance (en téléexéctuant le tcpdump depuis une machine saine) puis analyser en tentant de répérer toute activité illégitime.
Repasser le chkrootkit en suivant les même précaution : téélexécution depuis une machine saine.
db
A priori c'était du a famd, qui ne m'étais pas utile sur cette machine, je l'ai désinstallé mais je continue à surveiller.
Merci -- "Battons nous tous les jours pour un monde plus libre et plus juste"
