[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Intrusion: savoir à quoi correspond un port ouvert

Luxpopuli Open source wrote:

Bonjour,

J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont réalisées depuis ma machine.

Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
j'ai commencé par supprimer tous les packages liés à SSH

Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!


pas vraiment. de deux choses l'une:
- ta machine est "possédée" (own3d). la, le pirate utilise ses propres softs. il peut remplacer tous les binaires qu'il veut. par exemple, il peut remplacer "ls" par une commande qui fait autre chose si on lui passe une option secrète... Dans ce cas, pas grand chose à faire que de réinstaller la machine. si tu récupères des données dessus attention à ne pas remettre n'importe quoi après reinstallation.
- un compte user a été pirtaé. mais une fois un compte piraté, devenir root devient une possibilité (se rappeler la vulnérabilité récente du kernel...). franchement, ce n'est pas la peine de perdre son temps avec cette hypothèse.
- attaque à distance: utilisation d'une faiblesse de l'un des services qui tournent sur ta machine. un "open proxy" par exemple, ou un service web mal conçu ou mal sécurisé, ... etc. 


Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais résoudre ce premier point:

j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande
équivalente lancée est:

nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131

Dans la réponse renvoyée je peux lire ceci:

=====================

Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2,
SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro
SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r
SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686-
OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T=
OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D
OS:LI=S)

=====================

Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
référencé comme "unknown").


jabber.
   http://www.haypocalc.com/wiki/Liste_des_ports_TCP_et_UDP

Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?
si c'est vraiment jabber, bein arrête le. mais regarde si ce n'est pas un programme malveillant. utilise lsof par exemple. 


Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:


LISa.
   http://linux.softpedia.com/get/System/Networking/LISa-14180.shtml


7741/tcp open tcpwrapped

Qu'est-ce donc que ce tcpwrapped ?
ça veut dire que nmap "pense" que ce service est protégér par "tcp wrappers" (qui implémentent des controles d'accès, en gros /etc/hosts.allow...). 


 A quel service est-il lié et puis-je le
stopper ?

Je vous remercie pour votre aide
Reply to: