| From | Frederic Lehobey <Frederic dot Lehobey at free dot fr> |
| Subject | Re: [gulliver] Une bonne nouvelle |
| Date | Mon, 20 Mar 2006 14:56:22 +0100 |
Salut, On Mon, Mar 20, 2006 at 01:56:42PM +0100, Gilles LAMIRAL wrote: > > > Comment es-tu arrivé à cette conclusion ? > > $ nmap lehobey-roncey.dyndns.org > > > > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 16:59 CET > > Interesting ports on folette (81.56.210.7): > > (The 1654 ports scanned but not shown below are in state: closed) > > PORT STATE SERVICE > > 22/tcp open ssh > > 53/tcp open domain > > 80/tcp open http > > 111/tcp open rpcbind > > 113/tcp open auth > > 412/tcp filtered synoptics-trap > > 991/tcp open unknown > > 6699/tcp filtered napster > > 6969/tcp filtered acmsoda > > Et qu'est-ce qu'il y a d'anormal là-dedans, le 991 ? Les écoutilles « filtered ». Qui variaient à plaisir selon mes interrogations par nmap. David a confirmé qu'il en a vu d'autres ouvertes (plus de 500). > Si tu as un autre système déjà installé, un simple > rsync -an donne des résultats sur /bin /sbin etc > Ensuite md5sum des deux cotés confirme. > Ou peut-être que tout était en mémoire. Si « rootkit » il y avait, je pense que l'essentiel était en mémoire. Je vais reprendre mes investigations (j'ai aussi d'autres choses à faire). Je ne vais peut-être pas gaver la liste avec chacun de mes pas... Plutôt fournir un bilan jeudi soir (si la soirée multimédia simultanée ne décourage pas les participants intéressés). Je vais aussi les documenter sur mon dokuwiki personnel (mais la machine qui l'héberge est sous mon observation très attentive -- et fréquemment éteinte -- car elle avait presque la même configuration que la machine piratée...).:-( Paranoïaquement, Frédéric
Attachment:
signature.asc
Description: Digital signature