| From | Frederic Lehobey <Frederic dot Lehobey at free dot fr> |
| Subject | Re: [gulliver] Une bonne nouvelle |
| Date | Mon, 20 Mar 2006 23:24:27 +0100 |
Salut,
On Mon, Mar 20, 2006 at 10:20:06PM +0100, Sylvain Collilieux wrote:
> >
> > $ nmap lehobey-roncey.dyndns.org
> >
> > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 16:59 CET
> > Interesting ports on folette (81.56.210.7):
> > (The 1654 ports scanned but not shown below are in state: closed)
> > PORT STATE SERVICE
> > 22/tcp open ssh
> > 53/tcp open domain
> > 80/tcp open http
> > 111/tcp open rpcbind
> > 113/tcp open auth
> > 412/tcp filtered synoptics-trap
> > 991/tcp open unknown
> > 6699/tcp filtered napster
> > 6969/tcp filtered acmsoda
> >
>
> Dans la conf de ton firewall, tu as dû mettre comme action reject pour
> certains ports (ceux qui sont filtered). Dans ce cas, la machine renvoie
> un RST, un petit coup de ethereal qui confirme.
Non, justement, je n'ai rien fait de tel. Ce qui m'a fait suspecter
une anomalie.
Au cours des appels successifs à nmap, la liste des « filtered » ne
cessait d'évoluer. Quelques échantillons :
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 17:28 CET
Interesting ports on folette (81.56.210.7):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
411/tcp filtered rmt
991/tcp open unknown
1214/tcp filtered fasttrack
6699/tcp filtered napster
Nmap finished: 1 IP address (1 host up) scanned in 78.637 seconds
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 17:35 CET
Interesting ports on folette (81.56.210.7):
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
412/tcp filtered synoptics-trap
991/tcp open unknown
1234/tcp filtered hotline
Nmap finished: 1 IP address (1 host up) scanned in 81.300 seconds
David, lui (sollicité par message privé), de son côté a trouvé aux
mêmes heures 335 écoutilles ouvertes (je n'ai qu'une partie de la
liste).
Le succès du nmap ne serait-il tout simplement dépendant du chemin
suivi par les paquets (par exemple, il semble que les réseaux Wanadoo
filtrent d'office 135/tcp msrpc et 445/tcp microsoft-ds) ? Ou bien
est-un indice probant d'une intrusion ? (Je n'ai jamais relevé cela
sur mes machines usuellement, mais je ne passe pas ma vie à faire des
nmap.)
> Ta trace montre ce qui est à mon avis une faiblesse de Debian,
> l'ouverture de NFS et de identd par défaut. Le port 111 est le portmap
> de NFS, 113 est pident. Il y a peut-être une raison mais je ne comprends
> pas pourquoi une installation par défaut garde ces ports ouverts.
Exact. Je jugeais cela inoffensif (sinon, Debian ne l'aurait pas
laissé passer). J'en ai discuté ce soir au téléphone avec David. Donc
par précaution :
# aptitude purge nfs-common portmap pidentd
> Un bon pour connaître le nom des programmes qui ouvrent ces ports :
> netstat -lntup (en root pour avoir le nom du programme)
> qui chez moi retourne
> Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
> PID/Program name
> tcp 0 0 127.0.0.1:25 0.0.0.0:*
> LISTEN 3465/exim4
> tcp6 0 0 :::22 :::*
> LISTEN 3507/sshd
>
> Comme le disait Gilles, à part le port 991, je ne vois rien de bizarre
> sinon l'hébergement d'un DNS. Une erreur de conf dans bind est bien vite
> arrivée.
Il s'agit d'un dnsmasq. David a émis l'hypothèse que j'aie pu être
l'objet / le complice de ceci :
http://it.slashdot.org/article.pl?sid=06/03/16/1658209
Dubitativement,
Frédéric
(et merci à tous ceux qui partagent leurs informations et intuitions.)
Attachment:
signature.asc
Description: Digital signature