[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: nmap et sometimes-rpc



Le mercredi 4 Février 2004 21:13, François TOURDE a écrit :

Salut

> Le 12452ième jour après Epoch,
>
> Fabien R. écrivait:
> > Salut à tous,
> >
> > Je viens de lancer nmapfe sous Woody et j'ai la sortie suivante:
> >
> > (The 64510 ports scanned but not shown below are in state: closed)
> > Port       State       Service
> > 6010/tcp   open        unknown
>
> Ça, c'est probablement du ssh avec forward X11.

Je mise sur la même chose ;)

> > 32772/tcp  open        sometimes-rpc7
>
> Joker ;)

Là, par contre c'est moins cool. Par défaut c'est pour le montage RPC loopback 
(et encore c'est sur Solaris :)
http://www.sans.org/ ->  "loopback" ports, 32770-32789

Essaye de voir quel programme est en ecoute sur le port 32772 dans ta machine.
#> lsof -i -n | grep 32772
(apt-get install lsof et à faire en root)

Ensuite regarde si il n'y a pas un méchant rootkit sur ta machine.
#> chkrootkit
(apt-get install chkrootkit, idem en root)

> > Je n'avais pas ce genre de message avant.
>
> Avant quoi ?
>
> > Dois-je m'inquiéter ?
>
> Par défaut, oui.
>
> Comment lance-tu nmap? Depuis ta machine elle-même (probablement pas),
> ou alors depuis une autre machine du réseau? Vérifie ton firewall dans
> ce dernier cas. Il n'est pas normal d'avoir des ports de ce genre
> ouverts sans raison.

Entièrrement d'accord. Le mieux : interdire tout par défaut et ouvrir les 
ports au cas par cas, en vérifier que le programme qui écoute vers 
l'extérieur ne contient pas de bug de sécurité trop important.

A+, Damien

-- 
Damien Raude-Morvan - DrazziB
GPG : 0x337C7EBB
WWW : www.drazzib.com
ICQ : 68119943
TEL : (+33) 06 08 80 36 98

Attachment: pgpUT9YP5mB88.pgp
Description: signature


Reply to: