Re: Coonexion sans identification
Le Tue, Apr 23, 2013 at 05:44:35PM +0200, Jean-Luc Bassereau écrivait :
couic
>
> Il y a des ports ouverts vraiment inquietants genre :
>
> 1080/tcp open socks
> 1524/tcp open ingreslock
> 1524/tcp open ingreslock
> 2000/tcp open cisco-sccp
> 3306/tcp open mysql
> 6667/tcp open irc
> 8000/tcp open http-alt
> 10000/tcp open snet-sensor-mgmt
> 12345/tcp open netbus
> 31337/tcp open Elite
> 32771/tcp open sometimes-rpc5
> 32772/tcp open sometimes-rpc7
> 32773/tcp open sometimes-rpc9
> 32774/tcp open sometimes-rpc11
>
> Sais-tu ce que tu fais tourner dessus ?
>
> en root :
> lsof -i:xxx (remplacer xxx par le port)
> te donnera le binaire qui ouvre le port en question.
Je suis passer par netstat -lnp | grep ":n°_de_port"
et j'ai enlevé tout sauf mysql, postfix et apache.
Cela a fait un sacré nettoyage.
>
> Dans tous les cas, un audit de ta machine est nécessaire.
Un audit ?
J'ai utilisé nmap pour lister les ports ouverts et faire le tri.
D'autres idées ?
--
Frédéric
F1sxo
Reply to: