Re: Intrusion: savoir à quoi correspond un port ouvert

To: debian-user-french@lists.debian.org
Subject: Re: Intrusion: savoir à quoi correspond un port ouvert
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Sun, 17 Feb 2008 14:29:10 +0100
Message-id: <[🔎] 87ir0nsod5.fsf@fermat.tourde.home>
In-reply-to: <[🔎] 94e600c80802170515l39b84b3ja187ce35d524c33e@mail.gmail.com> (Luxpopuli Open's message of "Sun\, 17 Feb 2008 14\:15\:28 +0100")
References: <[🔎] 94e600c80802170515l39b84b3ja187ce35d524c33e@mail.gmail.com>

Le 13926ième jour après Epoch,
Luxpopuli Open écrivait:

> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
> ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
> en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
> connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
> me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
> j'ai commencé par supprimer tous les packages liés à SSH

L'idéal est plutôt de déconnecter ta machine du réseau, le temps de
nettoyer tout ça.

> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce si
> sûr ?!

Rien n'est moins sûr. En général, les "scripts" servant à cracker les
autres machines embarquent des versions de SSH qui leur sont
propres. Tu peux laisser ssh (client et serveur) sur ta machine, mais
il faut que tu nettoies le reste.

[...]
> 28011/tcp open unknown
[...]
> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne serait pas
> référencé comme "unknown").
>
> Comment ou que dois-je faire pour avoir des informations sur ce ports ? Quel
> logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer,
> etc... ?

Tu peux essayer avec "netstat -putana|grep 28011", mais il y a toutes
les chances que ça ne t'apporte rien, les bons kits se camouflent
eux-même en modifiant la commande netstat, ainsi que tout plein
d'autres commandes (ls, md5sum, ssh, etc...)

Tu peux toutefois essayer de:

- Monter une machine équivalente à côté pour comparer le md5sum des
  binaires en question

- Booter sur un live-cd pour "regarder" ta machine et remplacer les
  binaires qui auraient pû être infectés

- Sauvegarder toutes tes "données" et réinstaller

Sache qu'il sera important pour toi de savoir par où l'intrus est
passé, pour éviter de recommencer la même histoire. Une injection SQL,
un trou PHP, un accès ftp associé à un serveur web, etc...

Bon courage :)

Reply to:

References:
- Intrusion: savoir à quoi correspond un port ouvert
  - From: "Luxpopuli Open source" <luxpopuli07@gmail.com>

Prev by Date: Re: Intrusion: savoir à quoi correspond un port ouvert
Next by Date: Re: [HS grave] Mise au poing était [Re: mise à jour]
Previous by thread: Re: Intrusion: savoir à quoi correspond un port ouvert
Next by thread: Re: Intrusion: savoir à quoi correspond un port ouvert
Index(es):
- Date
- Thread