[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une bonne nouvelle (appel à tests)


From Frederic Lehobey <Frederic dot Lehobey at free dot fr>
Subject Re: [gulliver] Une bonne nouvelle (appel à tests)
Date Wed, 22 Mar 2006 15:33:21 +0100

Salut,

On Mon, Mar 20, 2006 at 11:24:27PM +0100, Frederic Lehobey wrote:
> On Mon, Mar 20, 2006 at 10:20:06PM +0100, Sylvain Collilieux wrote:
> > > 
> > > $ nmap lehobey-roncey.dyndns.org
> > > 
> > > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 16:59 CET
> > > Interesting ports on folette (81.56.210.7):
> > > (The 1654 ports scanned but not shown below are in state: closed)
> > > PORT     STATE    SERVICE
> > > 22/tcp   open     ssh
> > > 53/tcp   open     domain
> > > 80/tcp   open     http
> > > 111/tcp  open     rpcbind
> > > 113/tcp  open     auth
> > > 412/tcp  filtered synoptics-trap
> > > 991/tcp  open     unknown
> > > 6699/tcp filtered napster
> > > 6969/tcp filtered acmsoda
> > > 
> > 
> > Dans la conf de ton firewall, tu as dû mettre comme action reject pour
> > certains ports (ceux qui sont filtered). Dans ce cas, la machine renvoie
> > un RST, un petit coup de ethereal qui confirme.
> 
>   Non, justement, je n'ai rien fait de tel. Ce qui m'a fait suspecter
> une anomalie.
> 
>   Au cours des appels successifs à nmap, la liste des « filtered » ne
> cessait d'évoluer. Quelques échantillons :
> 
> Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 17:28 CET
> Interesting ports on folette (81.56.210.7):
> (The 1654 ports scanned but not shown below are in state: closed)
> PORT     STATE    SERVICE
> 22/tcp   open     ssh
> 53/tcp   open     domain
> 80/tcp   open     http
> 111/tcp  open     rpcbind
> 113/tcp  open     auth
> 411/tcp  filtered rmt
> 991/tcp  open     unknown
> 1214/tcp filtered fasttrack
> 6699/tcp filtered napster
> 
> Nmap finished: 1 IP address (1 host up) scanned in 78.637 seconds
> 
> Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 17:35 CET
> Interesting ports on folette (81.56.210.7):
> (The 1655 ports scanned but not shown below are in state: closed)
> PORT     STATE    SERVICE
> 22/tcp   open     ssh
> 53/tcp   open     domain
> 80/tcp   open     http
> 111/tcp  open     rpcbind
> 113/tcp  open     auth
> 412/tcp  filtered synoptics-trap
> 991/tcp  open     unknown
> 1234/tcp filtered hotline
> 
> Nmap finished: 1 IP address (1 host up) scanned in 81.300 seconds
> 
>   David, lui (sollicité par message privé), de son côté a trouvé aux
> mêmes heures 335 écoutilles ouvertes (je n'ai qu'une partie de la
> liste).
> 
>   Le succès du nmap ne serait-il tout simplement dépendant du chemin
> suivi par les paquets (par exemple, il semble que les réseaux Wanadoo
> filtrent d'office 135/tcp msrpc et 445/tcp microsoft-ds) ? Ou bien
> est-un indice probant d'une intrusion ? (Je n'ai jamais relevé cela
> sur mes machines usuellement, mais je ne passe pas ma vie à faire des
> nmap.)

  La poursuite des investigations (de nouveaux essais) laisse penser
que ce nous avons pris pour une intrusion était en fait un
faux-positif lié à notre mauvaise compréhension des résultats de nmap
(qui répondrait des choses différentes selon l'endroit d'où on
l'utilise). Pour confirmer cette hypothèse, quelques lecteurs de cette
liste pourraient-il m'envoyer (en perso pour ne pas polluer la liste)
le résultat de commandes

  $ nmap 81.56.210.7

faites depuis chez eux.

  Si cette explication est la bonne, le machine n'a jamais été piratée
et il n'y aura rien à trouver jeudi soir.

Librement,
(et merci d'avance)
Frédéric

Attachment: signature.asc
Description: Digital signature