Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
=====================
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2,
SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro
SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r
SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686-
OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T=
OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D
OS:LI=S)
=====================
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ?
Je vous remercie pour votre aide
Pascal