Re: Ammusant....
Portsentry monitore les ports defiinis dans le fichier de configuration,
et des qu'il y a connexion, il detemine l'ip de destination, et a quel
port, et il tente de se connecter a l'ip, pour obtenir les informations.
Apparement ton chkrootkit fait aussi un scan de ports (ou un nestat -an),
et pour ton scanner, c'est normal... vu que portsentry ouvre les ports
pour faire de la surveillance. Par contre, une fois que tu scannes dessus
(ou lors d'une tentative de connection), Portsentry le ferme bien entendu.
Eric
On Tue, 15 Jan 2002, Xavier Hubin wrote:
> Voila, j'installe portsentry_1.1-3_i386.deb téléchargé depuis
> http://ftp.de.debian.org/debian/pool/non-free/p/portsentry/portsentry_1.1-3_i386.deb
>
> puis, en bon parano, je faits un petit chkrootkit...
> Quel ne fut pas mon étonement de voir celui me rapporter :
> Checking `bindshell'... INFECTED (PORTS: 1524 31337)
> Nmap -localhost trouve aussi le port ouvert...
>
> Ayant eut le meme symptome apres le meme paquets sur une aute machine, je
> décide de désinstaller le paquet (apt-get remove) et de refaire tourner
> chkrootkit qui me rassure (?) :
> Checking `bindshell'... not infected
>
> Que penser de tout ca?
>
> Faux positif ?
>
> Portentry fait "Honey pot" ?
>
> Ai-je été trop rapide la première fois en reinstallant complètement la
> machine?
>
>
>
> --
> Xavier Hubin DMV
> Faculty of Veterinary Medicine
> Departement of Genetics
> 20 Bd de Colonster Bat. B43
> 4000 Liege, BELGIUM
> e-mail: xavier.hubin@ulg.ac.be
>
>
> --
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to:
- References:
- Ammusant....
- From: Xavier Hubin <xavier.hubin@aix10.segi.ulg.ac.be>