[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Coonexion sans identification

Le Tue, Apr 23, 2013 at 05:44:35PM +0200, Jean-Luc Bassereau écrivait :


couic

> 
> Il y a des ports ouverts vraiment inquietants genre :
> 
> 1080/tcp  open  socks
> 1524/tcp  open  ingreslock
> 1524/tcp  open  ingreslock
> 2000/tcp  open  cisco-sccp
> 3306/tcp  open  mysql
> 6667/tcp  open  irc
> 8000/tcp  open  http-alt
> 10000/tcp open  snet-sensor-mgmt
> 12345/tcp open  netbus
> 31337/tcp open  Elite
> 32771/tcp open  sometimes-rpc5
> 32772/tcp open  sometimes-rpc7
> 32773/tcp open  sometimes-rpc9
> 32774/tcp open  sometimes-rpc11
> 
> Sais-tu ce que tu fais tourner dessus ?
> 
> en root :
> lsof -i:xxx (remplacer xxx par le port)
> te donnera le binaire qui ouvre le port en question.

Je suis passer par netstat -lnp | grep ":n°_de_port"
et j'ai enlevé tout sauf mysql, postfix et apache.

Cela a fait un sacré nettoyage.

> 
> Dans tous les cas, un audit de ta machine est nécessaire.

Un audit ?

J'ai utilisé nmap pour lister les ports ouverts et faire le tri.

D'autres idées ?

--

Frédéric
F1sxo
Reply to: