Curieux en effet. De quand date ton message? longtemps après avoir mis le firewall ou pas ?? Fait un netstat -an pour etre plus sur. Je ne pense pas qu'ils aient mis un rootkit. De plus ton firewall n'est pas si bien configurer que ça pour laisser pénétrer des personnes sous ce port ! Tiens prends ce script qui vérifie les processus cachés, merci F. BUISSON. Bonne soirée. Tiens nous au courant. -----Message d'origine----- De : patrice [mailto:ml-spam-delete@tiscali.fr] Envoyé : vendredi 27 février 2004 19:44 À : debian-user-french@lists.debian.org Objet : logs bonsoir, je vois quelques lignes de logs de shorewall (au démarrage de ma machine) dont le port utilisé (en exterieur) semble etre 3320 (d'aprés ce que j'ai compris des logs)? et ce port semble utilisé par un trojan appelé "Office Link 2000" j'ai fais un chkrootkit pour verifier, mais rien... voici les logs : Feb 27 17:36:08 debian logger: Shorewall Started Feb 27 17:36:08 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=39880 PROTO=TCP SPT=2810 DPT=3320 WINDOW=8192 RES=0x00 SYN URGP=0 Feb 27 17:36:09 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=47304 PROTO=TCP SPT=2810 DPT=3320 WINDOW=8192 RES=0x00 SYN URGP=0 Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=172.185.2.147 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=42250 PROTO=TCP SPT=1831 DPT=3320 WINDOW=65535 RES=0x00 SYN URGP=0 Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:60:68:83:06:78:08:00 SRC=192.168.1.1 DST=255.255.255.255 LEN=180 TOS=0x00 PREC=0x00 TTL=64 ID=64477 PROTO=UDP SPT=1440 DPT=1440 LEN=160 Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=53448 PROTO=TCP SPT=2810 DPT=3320 WINDOW=8192 RES=0x00 SYN URGP=0 mon IP commence par 83.***.**.*** ce qui ne correspond pas aux IP suivantes se trouvant dans ces logs (il ya depuis d'autres IP qui s'ajoutent dans les logs) 80.53.68.66 172.185.2.147 ... mon parefeu est bien configuré (mais je dois juste refaire la compil du noyau pour la sécu) et j'utilise snort. dois je faire d'autres inspections ou bien je ne dois pas m'inquiéter? ### sinon, j'ai vu ces lignes dans les logs, que je met car je n'avais jamais repéré ces cron, ce doit etre un cron standard ? : Feb 27 17:36:02 debian /usr/sbin/cron[519]: (CRON) STARTUP (fork ok) Feb 27 17:36:04 debian /usr/sbin/cron[519]: (CRON) INFO (Running @reboot jobs) ### (précisions; je ne suis pas au top de la sécu, les conseils sont les bienvenus) merci d'avance -- patrice -- Le secret du pouvoir consiste à combiner la foi en sa propre infaillibilité avec l'aptitude à tirer une leçon de ses propres erreurs. - G. Orwell, 1984 -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Attachment:
chercheprocess
Description: Binary data