Merci pour toutes vos réponses pas forcément réjouissante ! ;-)
La commande:
lsof -i
me renvoie tout ce qu'il faut. A propos du port 28011:
gajim.py 3204 pascal 23u IPv4 14258 TCP www.linuxorable.net:55983->a226.anywise.com:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 24u IPv4 14239 TCP www.linuxorable.net:52648->jabber.mwsp.net:xmpp-client (ESTABLISHED)
gajim.py 3204 pascal 25u IPv4 472242 TCP www.linuxorable.net:39766->80.248.214.47:5223 (ESTABLISHED)
gajim.py 3204 pascal 29u IPv4 99197 TCP *:28011 (LISTEN)
A propos du port 7741:
lisa 2557 root 4u IPv4 4857 TCP *:7741 (LISTEN)
lisa 2557 root 5u IPv4 5088 UDP *:7741
Il s'agit de ce service: http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.neigh/admin.reseau.neigh.lisa.html
J'apprends à la lecture de cet article qu'on accède à l'aide avec "help:/lisa" tapé dans la barre d'URL de konqueror
Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma machine ?
Pascal
Bonjour,
J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant que des tentatives de connection SSH sont réalisées depuis ma machine.
Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème, j'ai commencé par supprimer tous les packages liés à SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
Avant de comprendre comment remttre en fonctionnement un client et un serveur SSH sur ma machine, je voudrais résoudre ce premier point:
j'ai lancé un scan de tous les ports de ma machine avec nmapfe. La commande équivalente lancée est:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
=====================
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=4.53%I=7%D=2/17%Time=47B830B8%P=i686-pc-linux-gnu%r(RPC
SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2,
SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro
SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r
SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=4.53%D=2/17%OT=25%CT=1%CU=43223%PV=N%DS=0%G=Y%TM=47B830D8%P=i686-
OS:pc-linux-gnu)SEQ(SP=C2%GCD=1%ISR=C6%TI=Z%II=I%TS=A)OPS(O1=M400CST11NW7%O
OS:2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11NW7%O6=M400C
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T=
OS:40%W=8018%O=M400CNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%RD=0%Q=)T4(R=
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A
OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D
OS:LI=S)=====================
Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas référencé comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... ?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ? A quel service est-il lié et puis-je le stopper ?
Je vous remercie pour votre aide
Pascal
--
http://www.luxpopuli.fr - documentation de eZ Publish traduite en français