[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une bonne nouvelle


From Frederic Lehobey <Frederic dot Lehobey at free dot fr>
Subject Re: [gulliver] Une bonne nouvelle
Date Mon, 20 Mar 2006 14:56:22 +0100

Salut,

On Mon, Mar 20, 2006 at 01:56:42PM +0100, Gilles LAMIRAL wrote:

> > > Comment es-tu arrivé à cette conclusion ?
> > $ nmap lehobey-roncey.dyndns.org
> > 
> > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 16:59 CET
> > Interesting ports on folette (81.56.210.7):
> > (The 1654 ports scanned but not shown below are in state: closed)
> > PORT     STATE    SERVICE
> > 22/tcp   open     ssh
> > 53/tcp   open     domain
> > 80/tcp   open     http
> > 111/tcp  open     rpcbind
> > 113/tcp  open     auth
> > 412/tcp  filtered synoptics-trap
> > 991/tcp  open     unknown
> > 6699/tcp filtered napster
> > 6969/tcp filtered acmsoda
> 
> Et qu'est-ce qu'il y a d'anormal là-dedans, le 991 ?

  Les écoutilles « filtered ». Qui variaient à plaisir selon mes
interrogations par nmap. David a confirmé qu'il en a vu d'autres
ouvertes (plus de 500).

> Si tu as un autre système déjà installé, un simple
> rsync -an donne des résultats sur /bin /sbin etc
> Ensuite md5sum des deux cotés confirme.
> Ou peut-être que tout était en mémoire.

  Si « rootkit » il y avait, je pense que l'essentiel était en
mémoire. Je vais reprendre mes investigations (j'ai aussi d'autres
choses à faire). Je ne vais peut-être pas gaver la liste avec chacun
de mes pas...

  Plutôt fournir un bilan jeudi soir (si la soirée multimédia
simultanée ne décourage pas les participants intéressés). Je vais
aussi les documenter sur mon dokuwiki personnel (mais la machine qui
l'héberge est sous mon observation très attentive -- et fréquemment
éteinte -- car elle avait presque la même configuration que la machine
piratée...).:-(

Paranoïaquement,
Frédéric

Attachment: signature.asc
Description: Digital signature