Tu n'as pas PortSentry ou qq chose de semblable d'installé ?
Cdt
Sébastien JULIENNE
2005/10/21, C. Mourad Jaber :
Bonjour, J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ?
Merci
Mourad
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact .org
pascal
C. Mourad Jaber a écrit :
Bonjour, J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ?
Merci
Mourad
Il ya quelques petites choses simples que tu peux tenter avant de réinstaller tout :) D'abord lire /usr/share/doc/chkrootkit/README.FALSE-POSITIVES pour voir si ce n'est pas un faux positif (rien ne concerne le port 600 chez moi).
Ensuite si tu en as la possibilité effectue un nmap -sS -p1-65535 <IP de ta machine> *depuis une autre machine* (si possible sure).
Relève les ports ouverts et compare les à la sortie d'un "netstat -tulpe". S'il y a des différences entre les services/ports affichés, comparer la signature de netstat (md5sum ou gpg) avec un binaire netstat de ta distribution "sur" (celui d'un CD ou fraichement récupéré d'un serveur et dûment vérifié). netstat provient du paquet net-tools.
Tu peux aussi lancer un "lsof i:600" voir ce qui écoute là ...
Voilà quelques pistes.
Bon courage Pascal
-- Haut par-dessus leur tête voguaient les blanches sculptures des nuages, comme en la cervelle de Michel-Ange des volutes de concept. M. Lowry
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
C. Mourad Jaber a écrit :
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est
effectivement un rootkit ?
Merci
Mourad
Il ya quelques petites choses simples que tu peux tenter avant de
réinstaller tout :)
D'abord lire /usr/share/doc/chkrootkit/README.FALSE-POSITIVES pour voir
si ce n'est pas un faux positif (rien ne concerne le port 600 chez moi).
Ensuite si tu en as la possibilité effectue un nmap -sS -p1-65535 <IP de
ta machine> *depuis une autre machine* (si possible sure).
Relève les ports ouverts et compare les à la sortie d'un "netstat -tulpe".
S'il y a des différences entre les services/ports affichés, comparer la
signature de netstat (md5sum ou gpg) avec un binaire netstat de ta
distribution "sur" (celui d'un CD ou fraichement récupéré d'un serveur
et dûment vérifié). netstat provient du paquet net-tools.
Tu peux aussi lancer un "lsof i:600" voir ce qui écoute là ...
Voilà quelques pistes.
Bon courage
Pascal
--
Haut par-dessus leur tête voguaient les blanches sculptures
des nuages, comme en la cervelle de Michel-Ange des volutes
de concept.
M. Lowry
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonjour, J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ?
Merci
Mourad
Il ya quelques petites choses simples que tu peux tenter avant de réinstaller tout :) D'abord lire /usr/share/doc/chkrootkit/README.FALSE-POSITIVES pour voir si ce n'est pas un faux positif (rien ne concerne le port 600 chez moi).
Ensuite si tu en as la possibilité effectue un nmap -sS -p1-65535 <IP de ta machine> *depuis une autre machine* (si possible sure).
Relève les ports ouverts et compare les à la sortie d'un "netstat -tulpe". S'il y a des différences entre les services/ports affichés, comparer la signature de netstat (md5sum ou gpg) avec un binaire netstat de ta distribution "sur" (celui d'un CD ou fraichement récupéré d'un serveur et dûment vérifié). netstat provient du paquet net-tools.
Tu peux aussi lancer un "lsof i:600" voir ce qui écoute là ...
Voilà quelques pistes.
Bon courage Pascal
-- Haut par-dessus leur tête voguaient les blanches sculptures des nuages, comme en la cervelle de Michel-Ange des volutes de concept. M. Lowry
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain Viollat
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote :
Bonjour,
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ?
Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/
A+ Sylvain -- http://www.rtcw.com.fr
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote :
Bonjour,
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est
effectivement un rootkit ?
Peut etre pourrais tu comparer le résultat avec rkhunter :
http://www.rootkit.nl/downloads/
A+
Sylvain
--
http://www.rtcw.com.fr
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote :
Bonjour,
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ?
Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/
A+ Sylvain
Je viens de le faire, et il ne trouve rien de spécial. Tous les indicateurs sont au vert :) J'avais le rpc.statd qui écoutait sur le port UDP 600, je l'ai arrêté, et chkrootkit ne trouve plus rien d'infecté...
Je n'ai pas trouvé de modifications sur la machine et le noyau est complètement monolitique (c'est ma passerelle) sans module loader, donc a priori pas de risques de ce coté là...
Je vais mettre ce truc dans le camp de faux positifs pour l'instant...
Par sécurité, j'ai réinstallé bind9 et nfs-common, juste au cas où...
@ +
Mourad
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain Viollat a écrit :
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote :
Bonjour,
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est
effectivement un rootkit ?
Peut etre pourrais tu comparer le résultat avec rkhunter :
http://www.rootkit.nl/downloads/
A+
Sylvain
Je viens de le faire, et il ne trouve rien de spécial.
Tous les indicateurs sont au vert :)
J'avais le rpc.statd qui écoutait sur le port UDP 600, je l'ai arrêté,
et chkrootkit ne trouve plus rien d'infecté...
Je n'ai pas trouvé de modifications sur la machine et le noyau est
complètement monolitique (c'est ma passerelle) sans module loader, donc
a priori pas de risques de ce coté là...
Je vais mettre ce truc dans le camp de faux positifs pour l'instant...
Par sécurité, j'ai réinstallé bind9 et nfs-common, juste au cas où...
@ +
Mourad
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote :
Bonjour,
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ?
Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/
A+ Sylvain
Je viens de le faire, et il ne trouve rien de spécial. Tous les indicateurs sont au vert :) J'avais le rpc.statd qui écoutait sur le port UDP 600, je l'ai arrêté, et chkrootkit ne trouve plus rien d'infecté...
Je n'ai pas trouvé de modifications sur la machine et le noyau est complètement monolitique (c'est ma passerelle) sans module loader, donc a priori pas de risques de ce coté là...
Je vais mettre ce truc dans le camp de faux positifs pour l'instant...
Par sécurité, j'ai réinstallé bind9 et nfs-common, juste au cas où...
@ +
Mourad
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
