Re: Intrusion: savoir à quoi correspond un port ouvert

To: debian-user-french@lists.debian.org
Subject: Re: Intrusion: savoir à quoi correspond un port ouvert
From: Franck JONCOURT <franck.mail@dthconnex.com>
Date: Sun, 17 Feb 2008 18:20:11 +0100
Message-id: <[🔎] 4816906710f075c6bf09700971f3bb19@localhost>
In-reply-to: <[🔎] 20080217151813.GA8592@sources.org>
References: <[🔎] 20080217151813.GA8592@sources.org>

On Sun, 17 Feb 2008 16:18:13 +0100, Stephane Bortzmeyer
<stephane@sources.org> wrote:
> On Sun, Feb 17, 2008 at 03:25:38PM +0100,
>  Luxpopuli Open source <luxpopuli07@gmail.com> wrote
>  a message of 354 lines which said:
> 
>> Me confirmez-vous que la personne qui utilise ma machine pour lancer
>> ses attaques SSH ouvre forcément un port ?
> 
> Non, j'infirme. Il attaque des *serveurs* SSH et ta machine est
> *cliente* SSH lors des attaques. Il y a bien un port ouvert mai il
> n'écoute pas et son numéro est quelconque et différent à chaque
client
> lancé. nmap et lsof ne seront donc d'aucune utilité pour ce cas là.

Nmap en effet, ne sert à rien pour s'en sortir.
Le fait de scanner une machine n'intervient que dans le 
traffic entrant sur la machine ; ainsi on obtiendra de manière
générale une liste des services potentiellement grand ouverts,
et la situation du firewall : stateful ou pas , et la politique adoptée.

En plus sur une machine protégée, il y a de forte chances 
pour que ton scan ne soit pas représentatif de l'état du serveur,
et mette quarante ans à obtenir les informations demandées.

Côté firewall pour l'OP, je conseillerais de limiter les nouvelles 
connexions sortantes de sa machine et en les inspectant en plus 
avec un IDS, afin de détecter des options particulière dans le traffic.

De cette manière il devient alors possible (mais pas certains) de
déterminer le genre de virus/exploit qui traînent dans le coin.

Soit pour les connexions SSH depuis ton poste vers une machine 
cliente, on ferait attention aux demandes de connexion issuent 
d'un port non privilégié (> 1024) vers le port 22 (en tcp).

>> Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois
>> du port 22
> 
> Port de *destination* sur le *serveur* SSH. Cela ne signifie rien pour
> le port *source* sur ta machine, le *client* SSH.

Le scan de ta machine par un tiers ne te fournit que l'état de ton poste
vu de l'extérieur et en aucun cas vu de l'attaquant dans le cas présent.

Une fois déterminer la cause du problème, je préconiserais la
réinstallation
complète de la machine comme d'autres l'ont proposé.

---
Franck Joncourt
http://www.debian.org/ - http://smhteam.info/wiki/

Reply to:

References:
- Re: Intrusion: savoir à quoi correspond un port ouvert
  - From: Stephane Bortzmeyer <stephane@sources.org>

Prev by Date: Re: [Un peu HS] Configurer et utiliser ivman
Next by Date: scanner usb non reconnu
Previous by thread: Re: Intrusion: savoir à quoi correspond un port ouvert
Next by thread: Re: Intrusion: savoir à quoi correspond un port ouvert
Index(es):
- Date
- Thread