Si je lance (après mise à jour) rkhunter et que je teste,
par exemple sur
http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi,
les ports de ma machine,
et que les résultats sont satisfaisants (pas d'anomalie
dans le rapport de rkhunter et tous les ports marqués
"Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un
amateur...) sont à faire ?
Si je lance (après mise à jour) rkhunter et que je teste, par exemple sur http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi, les ports de ma machine, et que les résultats sont satisfaisants (pas d'anomalie dans le rapport de rkhunter et tous les ports marqués "Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un amateur...) sont à faire ?
lancer un:
netstat -n -a --inet | grep LISTEN regarder quels sont les services tcp qui ecoutent. en root, un fuser -v -n tcp <n° de port> permet de connaitre le nom du programme qui ecoute derriere. Lancer un: netstat -n -a --inet | grep ^udp et regarder les ports udp en ecoute. idem.
lancer un: tcpdump -n -i eth0 (ou ppp0 si tu te connectes en ppp) et regarder
faire un ps auxww et regarder la liste des programmes qui tournent.
Ca fait partie des tests et controle interessant a lancer. Ca n'est pas la panacee universelle, mais c'est un bon debut. -- non. non. non.
Le 17-09-2006, jip <j-pierre@wanadoo.fr> a écrit :
Si je lance (après mise à jour) rkhunter et que je teste,
par exemple sur
http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi,
les ports de ma machine,
et que les résultats sont satisfaisants (pas d'anomalie
dans le rapport de rkhunter et tous les ports marqués
"Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un
amateur...) sont à faire ?
lancer un:
netstat -n -a --inet | grep LISTEN
regarder quels sont les services tcp qui ecoutent.
en root, un
fuser -v -n tcp <n° de port>
permet de connaitre le nom du programme qui ecoute derriere.
Lancer un:
netstat -n -a --inet | grep ^udp
et regarder les ports udp en ecoute. idem.
lancer un:
tcpdump -n -i eth0 (ou ppp0 si tu te connectes en ppp)
et regarder
faire un
ps auxww
et regarder la liste des programmes qui tournent.
Ca fait partie des tests et controle interessant a lancer. Ca n'est pas
la panacee universelle, mais c'est un bon debut.
--
non. non. non.
Si je lance (après mise à jour) rkhunter et que je teste, par exemple sur http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi, les ports de ma machine, et que les résultats sont satisfaisants (pas d'anomalie dans le rapport de rkhunter et tous les ports marqués "Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un amateur...) sont à faire ?
lancer un:
netstat -n -a --inet | grep LISTEN regarder quels sont les services tcp qui ecoutent. en root, un fuser -v -n tcp <n° de port> permet de connaitre le nom du programme qui ecoute derriere. Lancer un: netstat -n -a --inet | grep ^udp et regarder les ports udp en ecoute. idem.
lancer un: tcpdump -n -i eth0 (ou ppp0 si tu te connectes en ppp) et regarder
faire un ps auxww et regarder la liste des programmes qui tournent.
Ca fait partie des tests et controle interessant a lancer. Ca n'est pas la panacee universelle, mais c'est un bon debut. -- non. non. non.
Pascal Hambourg
Salut,
lancer un: netstat -n -a --inet | grep LISTEN regarder quels sont les services tcp qui ecoutent.
Ajouter --inet6 même si on n'a pas de connectivité IPv6, car par défaut sous Linux les sockets TCP et UDP IPv6 acceptent aussi les communications en IPv4.
en root, un fuser -v -n tcp <n° de port> permet de connaitre le nom du programme qui ecoute derriere.
Plus simple : l'option -p de netstat en root.
Lancer un: netstat -n -a --inet | grep ^udp et regarder les ports udp en ecoute. idem.
Plus simple : utiliser l'option -l de netstat au lieu de l'option -a pour lister uniquement et d'un seul coup les sockets TCP, UDP, raw... en écoute :
# netstat --inet --inet6 -nlp
Salut,
lancer un:
netstat -n -a --inet | grep LISTEN
regarder quels sont les services tcp qui ecoutent.
Ajouter --inet6 même si on n'a pas de connectivité IPv6, car par défaut
sous Linux les sockets TCP et UDP IPv6 acceptent aussi les
communications en IPv4.
en root, un
fuser -v -n tcp <n° de port>
permet de connaitre le nom du programme qui ecoute derriere.
Plus simple : l'option -p de netstat en root.
Lancer un:
netstat -n -a --inet | grep ^udp
et regarder les ports udp en ecoute. idem.
Plus simple : utiliser l'option -l de netstat au lieu de l'option -a
pour lister uniquement et d'un seul coup les sockets TCP, UDP, raw... en
écoute :
lancer un: netstat -n -a --inet | grep LISTEN regarder quels sont les services tcp qui ecoutent.
Ajouter --inet6 même si on n'a pas de connectivité IPv6, car par défaut sous Linux les sockets TCP et UDP IPv6 acceptent aussi les communications en IPv4.
en root, un fuser -v -n tcp <n° de port> permet de connaitre le nom du programme qui ecoute derriere.
Plus simple : l'option -p de netstat en root.
Lancer un: netstat -n -a --inet | grep ^udp et regarder les ports udp en ecoute. idem.
Plus simple : utiliser l'option -l de netstat au lieu de l'option -a pour lister uniquement et d'un seul coup les sockets TCP, UDP, raw... en écoute :
# netstat --inet --inet6 -nlp
Rakotomandimby (R12y)
On Tue, 19 Sep 2006 12:03:22 +0200, Pascal Hambourg wrote:
netstat -n -a --inet | grep LISTEN Ajouter --inet6 même si on n'a pas de connectivité IPv6
fuser -v -n tcp <n° de port> Plus simple : l'option -p de netstat en root.
netstat -n -a --inet | grep ^udp Plus simple : utiliser l'option -l de netstat au lieu de l'option -a
# netstat --inet --inet6 -nlp
Mouais. Faire ces tests et conclure sur la sanité d'une machine est un peu léger. Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils n'affichent pas sa présence... Et on sait tous que la fiabilité des virus est supérieure à celles de beaucoup de logiciels... :-)
On Tue, 19 Sep 2006 12:03:22 +0200, Pascal Hambourg wrote:
netstat -n -a --inet | grep LISTEN
Ajouter --inet6 même si on n'a pas de connectivité IPv6
fuser -v -n tcp <n° de port>
Plus simple : l'option -p de netstat en root.
netstat -n -a --inet | grep ^udp
Plus simple : utiliser l'option -l de netstat au lieu de l'option -a
# netstat --inet --inet6 -nlp
Mouais. Faire ces tests et conclure sur la sanité d'une machine est un
peu léger.
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils
n'affichent pas sa présence... Et on sait tous que la fiabilité des
virus est supérieure à celles de beaucoup de logiciels... :-)
On Tue, 19 Sep 2006 12:03:22 +0200, Pascal Hambourg wrote:
netstat -n -a --inet | grep LISTEN Ajouter --inet6 même si on n'a pas de connectivité IPv6
fuser -v -n tcp <n° de port> Plus simple : l'option -p de netstat en root.
netstat -n -a --inet | grep ^udp Plus simple : utiliser l'option -l de netstat au lieu de l'option -a
# netstat --inet --inet6 -nlp
Mouais. Faire ces tests et conclure sur la sanité d'une machine est un peu léger. Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils n'affichent pas sa présence... Et on sait tous que la fiabilité des virus est supérieure à celles de beaucoup de logiciels... :-)
Nina Popravka
On Tue, 19 Sep 2006 15:53:52 +0200, "Rakotomandimby (R12y)" wrote:
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils n'affichent pas sa présence... Et on sait tous que la fiabilité des virus est supérieure à celles de beaucoup de logiciels... :-) [Mode troll ON]
Oui, on me l'a montré une fois, et ça m'a amenée à la conclusion qu'il faut vraiment être excellent pour prétendre faire de la sécurité *nix à titre professionnel, puisque ce qu'on voit ne correspond pas nécessairement à la réalité. [Mode troll OFF] -- Nina
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils
n'affichent pas sa présence... Et on sait tous que la fiabilité des
virus est supérieure à celles de beaucoup de logiciels... :-)
[Mode troll ON]
Oui, on me l'a montré une fois, et ça m'a amenée à la conclusion qu'il
faut vraiment être excellent pour prétendre faire de la sécurité *nix
à titre professionnel, puisque ce qu'on voit ne correspond pas
nécessairement à la réalité.
[Mode troll OFF]
--
Nina
On Tue, 19 Sep 2006 15:53:52 +0200, "Rakotomandimby (R12y)" wrote:
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils n'affichent pas sa présence... Et on sait tous que la fiabilité des virus est supérieure à celles de beaucoup de logiciels... :-) [Mode troll ON]
Oui, on me l'a montré une fois, et ça m'a amenée à la conclusion qu'il faut vraiment être excellent pour prétendre faire de la sécurité *nix à titre professionnel, puisque ce qu'on voit ne correspond pas nécessairement à la réalité. [Mode troll OFF] -- Nina
Matthieu Moy
Nina Popravka writes:
Oui, on me l'a montré une fois, et ça m'a amenée à la conclusion qu'il faut vraiment être excellent pour prétendre faire de la sécurité *nix à titre professionnel, puisque ce qu'on voit ne correspond pas nécessairement à la réalité.
Bah, en fait, le seul moyen fiable pour connaitre l'état d'une machine, c'est de booter sur un système supposé fiable (autre machine sur laquelle on a monté le disque dur, live-CD, ...), et de regarder ce qu'il y a sur le disque.
Là, le système ne peut pas mentir, mais on peut encore râter des choses, bien sûr.
Enfin, ça n'est pas spécifique à Unix. J'ai entendu dire qu'il y avait d'autres systèmes d'exploitation où il étais possible de faire des rootkits. ;-)
-- Matthieu
Nina Popravka <Nina@nospam> writes:
Oui, on me l'a montré une fois, et ça m'a amenée à la conclusion qu'il
faut vraiment être excellent pour prétendre faire de la sécurité *nix
à titre professionnel, puisque ce qu'on voit ne correspond pas
nécessairement à la réalité.
Bah, en fait, le seul moyen fiable pour connaitre l'état d'une
machine, c'est de booter sur un système supposé fiable (autre machine
sur laquelle on a monté le disque dur, live-CD, ...), et de regarder
ce qu'il y a sur le disque.
Là, le système ne peut pas mentir, mais on peut encore râter des
choses, bien sûr.
Enfin, ça n'est pas spécifique à Unix. J'ai entendu dire qu'il y avait
d'autres systèmes d'exploitation où il étais possible de faire des
rootkits. ;-)
Oui, on me l'a montré une fois, et ça m'a amenée à la conclusion qu'il faut vraiment être excellent pour prétendre faire de la sécurité *nix à titre professionnel, puisque ce qu'on voit ne correspond pas nécessairement à la réalité.
Bah, en fait, le seul moyen fiable pour connaitre l'état d'une machine, c'est de booter sur un système supposé fiable (autre machine sur laquelle on a monté le disque dur, live-CD, ...), et de regarder ce qu'il y a sur le disque.
Là, le système ne peut pas mentir, mais on peut encore râter des choses, bien sûr.
Enfin, ça n'est pas spécifique à Unix. J'ai entendu dire qu'il y avait d'autres systèmes d'exploitation où il étais possible de faire des rootkits. ;-)
-- Matthieu
Nina Popravka
On Tue, 19 Sep 2006 16:06:15 +0200, Matthieu Moy wrote:
Enfin, ça n'est pas spécifique à Unix. J'ai entendu dire qu'il y avait d'autres systèmes d'exploitation où il étais possible de faire des rootkits. ;-) Oui, absolument :-)
Et y a des outils pour les détecter. Qui ne sont sûrement pas la panacée absolue. Il m'a toujours semblé, sur le fond, qu'une vraie compromission était beaucoup plus difficile à détecter sur un *nix pour le clampin lambda, mais je peux me tromper. -- Nina
Enfin, ça n'est pas spécifique à Unix. J'ai entendu dire qu'il y avait
d'autres systèmes d'exploitation où il étais possible de faire des
rootkits. ;-)
Oui, absolument :-)
Et y a des outils pour les détecter. Qui ne sont sûrement pas la
panacée absolue.
Il m'a toujours semblé, sur le fond, qu'une vraie compromission était
beaucoup plus difficile à détecter sur un *nix pour le clampin
lambda, mais je peux me tromper.
--
Nina
On Tue, 19 Sep 2006 16:06:15 +0200, Matthieu Moy wrote:
Enfin, ça n'est pas spécifique à Unix. J'ai entendu dire qu'il y avait d'autres systèmes d'exploitation où il étais possible de faire des rootkits. ;-) Oui, absolument :-)
Et y a des outils pour les détecter. Qui ne sont sûrement pas la panacée absolue. Il m'a toujours semblé, sur le fond, qu'une vraie compromission était beaucoup plus difficile à détecter sur un *nix pour le clampin lambda, mais je peux me tromper. -- Nina
Pascal Hambourg
On Tue, 19 Sep 2006 12:03:22 +0200, Pascal Hambourg wrote:
# netstat --inet --inet6 -nlp
Mouais. Faire ces tests et conclure sur la sanité d'une machine est un peu léger.
Note bien que ma réponse n'avait pas cette prétention, alors ce n'est pas à moi qu'il fallait répondre mais à Kevin.
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils n'affichent pas sa présence...
Un virus qui ferait ça serait non seulement un virus mais aussi un rootkit.
On Tue, 19 Sep 2006 12:03:22 +0200, Pascal Hambourg wrote:
# netstat --inet --inet6 -nlp
Mouais. Faire ces tests et conclure sur la sanité d'une machine est un
peu léger.
Note bien que ma réponse n'avait pas cette prétention, alors ce n'est
pas à moi qu'il fallait répondre mais à Kevin.
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils
n'affichent pas sa présence...
Un virus qui ferait ça serait non seulement un virus mais aussi un rootkit.
On Tue, 19 Sep 2006 12:03:22 +0200, Pascal Hambourg wrote:
# netstat --inet --inet6 -nlp
Mouais. Faire ces tests et conclure sur la sanité d'une machine est un peu léger.
Note bien que ma réponse n'avait pas cette prétention, alors ce n'est pas à moi qu'il fallait répondre mais à Kevin.
Un vrai bon "virus" aura surement surchargé ces utilitaires pour qu'ils n'affichent pas sa présence...
Un virus qui ferait ça serait non seulement un virus mais aussi un rootkit.
Jacques Lav!gnotte - Drop Dr NO when replying
Il m'a toujours semblé, sur le fond, qu'une vraie compromission était beaucoup plus difficile à détecter sur un *nix pour le clampin lambda, mais je peux me tromper.
Clampin sous *Nix, clampin sous autre, c'est toujours un clampin.
Jacques
Il m'a toujours semblé, sur le fond, qu'une vraie compromission était
beaucoup plus difficile à détecter sur un *nix pour le clampin
lambda, mais je peux me tromper.
Clampin sous *Nix, clampin sous autre, c'est toujours un clampin.
Il m'a toujours semblé, sur le fond, qu'une vraie compromission était beaucoup plus difficile à détecter sur un *nix pour le clampin lambda, mais je peux me tromper.
Clampin sous *Nix, clampin sous autre, c'est toujours un clampin.
Jacques
jip
jip wrote:
bonjour,
Si je lance (après mise à jour) rkhunter et que je teste, par exemple sur http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi, les ports de ma machine, et que les résultats sont satisfaisants (pas d'anomalie dans le rapport de rkhunter et tous les ports marqués "Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un amateur...) sont à faire ?
merci, jip
- grand merci à Kevin et Pascal pour les 2 premières réponses: des infos concrètes à exploiter; - piste intéressante dans la réponse de Matthieu (booter sur un livecd) mais justement, qu'aller vérifier sur le disque dur (c'est immense) ? - les autres contributions: bof : du blabla, sans consistance, avec même une pointe de mépris.
merci tout de même à tous pour vos réponses, jip
jip wrote:
bonjour,
Si je lance (après mise à jour) rkhunter et que je teste,
par exemple sur
http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi,
les ports de ma machine,
et que les résultats sont satisfaisants (pas d'anomalie
dans le rapport de rkhunter et tous les ports marqués
"Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un
amateur...) sont à faire ?
merci,
jip
- grand merci à Kevin et Pascal pour les 2 premières réponses: des infos
concrètes à exploiter;
- piste intéressante dans la réponse de Matthieu (booter sur un livecd)
mais justement, qu'aller vérifier sur le disque dur (c'est immense) ?
- les autres contributions: bof : du blabla, sans consistance, avec
même une pointe de mépris.
Si je lance (après mise à jour) rkhunter et que je teste, par exemple sur http://scan.sygate.com:443/cgi-bin/probe/stealthscan.cgi, les ports de ma machine, et que les résultats sont satisfaisants (pas d'anomalie dans le rapport de rkhunter et tous les ports marqués "Blocked"), puis-je considérer que ma machine est "saine" ?
Sinon quels autres tests et contrôles (à la portée d'un amateur...) sont à faire ?
merci, jip
- grand merci à Kevin et Pascal pour les 2 premières réponses: des infos concrètes à exploiter; - piste intéressante dans la réponse de Matthieu (booter sur un livecd) mais justement, qu'aller vérifier sur le disque dur (c'est immense) ? - les autres contributions: bof : du blabla, sans consistance, avec même une pointe de mépris.
merci tout de même à tous pour vos réponses, jip
Jacques Lav!gnotte - Drop Dr NO when replying
- les autres contributions: bof : du blabla, sans consistance, avec même une pointe de mépris.
Tu as remarqué toi aussi le mépris de la majorité des contributeurs ?
jip
Jac
- les autres contributions: bof : du blabla, sans consistance, avec
même une pointe de mépris.
Tu as remarqué toi aussi le mépris de la majorité des contributeurs ?
