| View previous topic :: View next topic |
| Author |
Message |
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
 Posted: Mon May 14, 2007 7:01 pm Post subject: [piratage?] J'ai été piraté ou suis je parano ? [resolu] |
 |
|
Bonsoir,
Il y a 1/2h, j'etais chez moi einard et un pote m'appelle sur skype. Il me dit qu'il me reçoit très mal. ce qui est bizarre vu que d'habitude c'est l'inverse (il appelle d'angola).
Je verifie donc les connexions, en particulier sur mon serveur gentoo.
Voici le resultat d'un netstat -n
| Code: |
udp 0 0 192.168.0.1:32768 [b]62.149.195.36:4921 [/b]ESTABLISHED
|
Ce qui m'a le plus surpris c'est cette addresse IP en gras. Pas moyen de voir ce que cela pourrait être.
Je fais donc un nslookup sur cette addresse. Voici le resultat.
| Code: | | 36.195.149.62.in-addr.arpa name = host36-195-149-62.serverdedicati.aruba.it |
Je me dis encore plus bizarre. Je vais bien sûr sur le site aruba.it et c'est un hébergeur italien.
Je fait une recherche dans les logs et rien.
Et là, je pense à faire un chkrootkit et là, je suis surpris :
| Code: | | Checking `bindshell'... INFECTED (PORTS: 1008) |
Je la fais donc à la barbarre et j'ai relancé l'interface eth0 sans la passerelle. Tout est redevenu normal.
Comme un c** j'ai pas pensé à lancer un tcpdump 
Je viens juste de relancer l'interface avec la passerelle et j'ai de nouveau une conexion avec cette adresse IP mais pour l'instant pas de traffic avec cette adresse.
Ma première question est : Suis-je parano ou ai-je bien été piraté ?
Ma deuxième question est : Si je me suis fait piraté, comment faire pour nettoyer le serveur ?
P.S. : Il se peut que la parano sois de mise vu qu'en plus quand je m'en suis aperçu j'etais en train de matter un film sur Kevin Mitnick :p
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no
Last edited by nico_calais on Mon May 14, 2007 8:37 pm; edited 1 time in total |
|
| Back to top |
|
 |
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Mon May 14, 2007 8:36 pm Post subject: |
|
|
Bon...heu...c'est officiel, je suis parano 
l'adresse IP du début vient du paquet klive..
Le chkrootkit ne m'a plus redonné l'alerte. Néanmoins, entre temps, il m'a fait croire qu'il y avait aussi un trojan.
Bon bah la prochaine fois, j'attendrai un peu avant de crier au loup 
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
geekounet
Bodhisattva
Joined: 11 Oct 2004
Posts: 3772
|
| Posted: Mon May 14, 2007 9:07 pm Post subject: |
|
|
| nico_calais wrote: | | Néanmoins, entre temps, il m'a fait croire qu'il y avait aussi un trojan. |
Et t'en a un, qui s'appelle Skype, et qui est au moins en train de dumper ton bios et de l'envoyer on ne sait où  |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
