Re: propagation de NetBus ?
Pierre@crescenzo.nom.fr (Pierre Crescenzo) wrote:
> Bonjour à tous,
>
> > Tu es sûr qu'il s'agit bien de Netbus ?!!
>
> Non. En fait, je ne suis sûr de rien. Tout ce que je sais, c'est que si
> je fais un "nmap" à partir d'une machine extérieure vers la machine en
> question, j'obtiens entre autres lignes :
> 12345 filtered tcp NetBus
> 12346 filtered tcp NetBus
>
> Les nmap, netstat... locaux ne repèrent rien.
D'après http://www.insecure.org/nmap/data/nmap_manpage.html :
Filtered means that a firewall, filter, or other network
obstacle is covering the port and preventing nmap from
determining whether the port is open.
> Je n'ai pas fakebo, ni portsentry, ni snort. Quels sont les autres
> programmes qui pourraient être reconnus comme NetBus ?
Nmap utilise le fichier nmap-services (/usr/share/nmap/nmap-services du
paquetage Debian)
NetBus 12345/tcp # NetBus backdoor trojan or Trend Micro Office Scan
donc n'importe quel programme qui utilise le port 12345/tcp
> > Un "netstat -taupe" (en tant que root) devrait te permettre de voir
> > quel est le programme qui utilise le port qui te semble suspect, et si
> > une connection est active ou non.
>
> "netstat -taupe" ne signale rien qui s'appelle NetBus et rien sur les
> ports 12345 et 12346. Comme je le disais au début, les outils locaux ne
> repèrent rien.
J'en déduis que les ports 12345 et 12346 ne sont pas ouverts ...
Quelle est la réponse de `telnet machine 12345` depuis la machine qui
lance le nmap ?
Reply to: