Re: back orifice suite
On Sun, 02 Mar 2003 22:21:32 +0100
pascal <pascalgosse@wanadoo.fr> wrote:
Ca serait cool de répondre à un mail précédent même le tien plutôt que de faire un
nouveau sujet pour que ca soit joliment threadé dans mon mailer ...
> J'ai placé une regle qui empêche le traffic de sortir de ce port avec
> iptables.
S'il y a une backdoor c'est un problème, tu peux le filtrer mais il reste à savoir
d'où ca vient.
Et plutôt que de bloquer un port quand c'est trop tard, il vaut mieux bloquer
tous les ports sauf ceux que tu utilises.
Quoique bloquer les ports en sortie ca peut limiter un peut les dégâts d'un backdoor
déjà installé mais ca ne résoud rien.
> 9/tcp open discard
> 13/tcp open daytime
> 22/tcp open ssh
> 25/tcp open smtp
> 37/tcp open time
> 80/tcp open http
> 111/tcp open sunrpc
> 113/tcp open auth
> 119/tcp open nntp
> 3306/tcp open mysql
Pas étonnant que ca soit facile de rentrer chez toi avec tous ces trucs inutiles.
C'est pour quel genre de machine, serveur ou workstation ?
Supprimes les lignes pour discard, daytime, time, ... dans /etc/inetd.conf
Il est plus intéressant de tester ce que donne nmap à partir d'une autre machine
pour voir quels sont les ports ouverts à l'extérieur. Donnes-moi ton IP si tu ne
peux pas tester.
> 31337/tcp filtered Elite <-------------- Pas bon !
Que donne "lsof - i tcp:31337" ? "fuser -n tcp 31337" ?
Est-ce-que tu as installé un truc comme portsentry ?
Lances aussi chkrootkit, vérifies s'il n'y a pas des répertoires cachés bizarres dans
/root, /tmp, /etc/init.d/, ...
Alain
Reply to: