Re: back orifice suite
Jean-Michel OLTRA a écrit:
Quelques pistes:
http://www.bellamyjc.net/fr/bo.html
il y a un lien pour télécharger les sources de BO. C'est le mieux pour
savoir ce qui est installé après compil.
Sinon tu peux chercher:
* les dossiers qui sont en ******rwx (y compris fichiers cachés)
* les fichiers et dossiers modifiés depuis le 1er log
Et tu peux installer un truc comme Tripwire (RMS aie pitié de mon
âme...) ou son alter ego Aide
Je reponds un peu tard pour des raisons de boulot...
J'ai regardé : les logs avec snort, hpingé le port 31337, le scan avec
ethereal après avoir débloqué les ports en sortie, recompilé le client
BO pour en avoir la taille, recherché un peu partout dans le système de
fichier, regardé avec Chkrootkit...Tout ça en vain.
Les dernieres lignes du fichier alert de snort indiquaient :
[**] [105:1:1] spp_bo: Back Orifice Traffic detected (key: 31337) [**]
03/01-12:00:42.818749 *.*.125.32:2131 -> <mon_ip>:31337
UDP TTL:119 TOS:0x0 ID:12092 IpLen:20 DgmLen:47
Len: 27
Ne pouvait-il s'agir que d'un scan d'un serveur BO sur le port 31337
pour détecter la présence d'un client ?
Enfin lorsque je ne bloque plus le port 31337 celui-ci disparaît de la
liste des ports donnée par nmap. N'est-ce pas nmap lui même qui affecte
a ce port la dénomination d'"Elite"?
Reste cette activité du port 31337 sur lo a destination des autres ports
qui est étrange mais dont la seule trace m'est donnée par les logs
d'IPTABLES...A la réalité de laquelle je finis par ne plus croire...
Voilà voilà...
HA si une derniere question... BO n'a apparamment aucune activité de
rootkit mais même dans ce cas est-ce qu'un apt-get --reinstall install
le_paquet_qui_va_bien serait utile ?
Bon bha je vais installer AIDE moi...
Merci encore
P.S. je n'ai pas acces a la mailing list jusqu'a ce vendredi mais je
pourrais consulter vos réponses éventuelles sur le net.
--
"2+2 = 5 ... Pour d'assez grandes valeurs de 2"
Reply to: