| View previous topic :: View next topic |
| Author |
Message |
robinhood
Apprentice
Joined: 21 Jun 2004
Posts: 290
|
 Posted: Fri Oct 22, 2004 11:09 am Post subject: [SPOOFING] port et service ouvert sur mon ip (resolu :( ) |
 |
|
Bon ça commence a serieusement m'inquieter : ce matin je me suis occupé de mon routeur, et j'ai fait un petit nmap sur mon ip. et là j'obtiens ça :
| Code: | Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2004-10-22 12:57 CEST
Interesting ports on A************** (*******):
(The 1594 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
28/tcp filtered unknown
53/tcp open domain
57/tcp filtered priv-term
71/tcp filtered netrjs-1
109/tcp filtered pop2
115/tcp filtered sftp
117/tcp filtered uucp-path
152/tcp filtered bftp
161/tcp filtered snmp
164/tcp filtered cmip-agent
199/tcp filtered smux
210/tcp filtered z39.50
241/tcp filtered unknown
244/tcp filtered dayna
283/tcp filtered unknown
331/tcp filtered unknown
340/tcp filtered unknown
343/tcp filtered unknown
369/tcp filtered rpc2portmap
431/tcp filtered utmpcd
452/tcp filtered sfs-config
485/tcp filtered powerburst
492/tcp filtered ticf-1
511/tcp filtered passgo
538/tcp filtered gdomap
574/tcp filtered ftp-agent
588/tcp filtered cal
625/tcp filtered unknown
634/tcp filtered ginad
635/tcp filtered unknown
647/tcp filtered unknown
668/tcp filtered unknown
706/tcp filtered silc
715/tcp filtered unknown
733/tcp filtered unknown
742/tcp filtered netrcs809/tcp filtered unknown
846/tcp filtered unknown
876/tcp filtered unknown
892/tcp filtered unknown
899/tcp filtered unknown
948/tcp filtered unknown
958/tcp filtered unknown
981/tcp filtered unknown
989/tcp filtered ftps-data
1139/tcp filtered cce3x
1394/tcp filtered iclpv-nlc
1406/tcp filtered netlabs-lm
1424/tcp filtered hybrid
1438/tcp filtered eicon-server
1469/tcp filtered aal-lm
1498/tcp filtered watcom-sql
1504/tcp filtered evb-elm
1665/tcp filtered netview-aix-5
2001/tcp filtered dc
2025/tcp filtered ellpack
2026/tcp filtered scrabble
2564/tcp filtered hp-3000-telnet
2604/tcp filtered ospfd
3052/tcp filtered PowerChute
3455/tcp filtered prsvp
6544/tcp filtered mythtv
6699/tcp filtered napster
7273/tcp filtered openmanage
9535/tcp filtered man
13712/tcp filtered VeritasNetbackup
13718/tcp filtered VeritasNetbackup
32786/tcp filtered sometimes-rpc25
Nmap run completed -- 1 IP address (1 host up) scanned in 11.516 seconds |
le probleme est qu'a priori seul ssh est ouvert, et que tout ces machin n'ont aucun rapport avec ma machine.
je fait peter mon /var/log/messages pour m'appercevoir qu'un type s'est acharné sur mon serveur ssh hier. bon.
emerge chkrootkit, rien, sur aucun de mes pc.
je ferme tout mes port, je recommence, meme resultats.
Bref AU SECOURS.
Last edited by robinhood on Fri Oct 22, 2004 11:50 am; edited 1 time in total |
|
| Back to top |
|
 |
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Fri Oct 22, 2004 11:24 am Post subject: |
|
|
tu peus mettre ton routeur en quarantaine... 
le laisse plus allumé ou du moins connecté.
alors soit tu prends sur toi le temps de vérifier le dd, les fichiers de conf etc...enfin bref un boulot de malade pour vérifier l'intégrité de ton système.
soit tu réinstalles tout en suivant ces guide :
http://www.gentoo.org/doc/en/gentoo-security.xml
et
http://www.gentoo.org/proj/en/hardened
ça m'est arrivé une fois j'ai pas cherché à comprendre...parce qu'un bon piratage c'est difficile à nettoyer après (bon ok t'es ptet tombé sur un guignol qui a essayé de script kiddie) donc autant tout réinstaller après avoir sauvegarder les données (au moins celles passives : film, mp3 etc...bon ptet que sur un routeur tu vas pas avoir ce genre de choses) |
|
| Back to top |
|
|
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Fri Oct 22, 2004 11:27 am Post subject: |
|
|
ah j'ai mal regardé ton log nmap...
y a pas grand chose d'ouvert en fait 
tout les autres ports sont dis filtré, cela dis ça veut dire que derrière le firewall ils sont ouvert 
non?
bon attends je fais un nmap sur mon serv et on va comparer |
|
| Back to top |
|
|
robinhood
Apprentice
Joined: 21 Jun 2004
Posts: 290
|
| Posted: Fri Oct 22, 2004 11:31 am Post subject: |
|
|
| Ce qui est bizarre c'est que seulement ssh tourne sur mes machine. je n'utilise aucun logiciel de p2p (ici napster) ni mythtv... |
|
| Back to top |
|
|
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Fri Oct 22, 2004 11:39 am Post subject: |
|
|
oui c'est bizarre comme résultat car moi de mon côté je n'ai que ssh qui soit ouvert
le reste c'est complètement fermé... |
|
| Back to top |
|
|
robinhood
Apprentice
Joined: 21 Jun 2004
Posts: 290
|
| Posted: Fri Oct 22, 2004 11:50 am Post subject: |
|
|
| bon, dans le doute, un fdisk s'impose. merci |
|
| Back to top |
|
|
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
| Posted: Fri Oct 22, 2004 11:59 am Post subject: |
|
|
| ton nmap sur ton routeur tu le fais à partir d'une machine dans ton réseau, ou d l'exterieur ? |
|
| Back to top |
|
|
robinhood
Apprentice
Joined: 21 Jun 2004
Posts: 290
|
| Posted: Fri Oct 22, 2004 12:03 pm Post subject: |
|
|
de l'interieur . J'ai essayer chez sygate, et ne voit que ssh. en fait je me demande si :
1. ça ne vient pas de mon nom de domaine
2. ça ne vient pas de nmap. j'ai la dernière version (3.75) sur mon desktop et la 3.55 (sur mon routeur) ne voit rien d'anormal.
edit : bon , j'ai été sniffer, j'ai la sale habitude de me connecter avec ssh user@serveur et je vient de decouvrir qu'il fallait faire ssh -C user@serveur bien fait pour moi. le type a casser un mot de passe fort a 10 caractère, et un jail sftp/spconly.
je reinstalle. |
|
| Back to top |
|
|
|
French
