| From | Frederic Lehobey <Frederic dot Lehobey at free dot fr> |
| Subject | Re: [gulliver] Une bonne nouvelle (appel à tests) |
| Date | Wed, 22 Mar 2006 15:33:21 +0100 |
Salut, On Mon, Mar 20, 2006 at 11:24:27PM +0100, Frederic Lehobey wrote: > On Mon, Mar 20, 2006 at 10:20:06PM +0100, Sylvain Collilieux wrote: > > > > > > $ nmap lehobey-roncey.dyndns.org > > > > > > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 16:59 CET > > > Interesting ports on folette (81.56.210.7): > > > (The 1654 ports scanned but not shown below are in state: closed) > > > PORT STATE SERVICE > > > 22/tcp open ssh > > > 53/tcp open domain > > > 80/tcp open http > > > 111/tcp open rpcbind > > > 113/tcp open auth > > > 412/tcp filtered synoptics-trap > > > 991/tcp open unknown > > > 6699/tcp filtered napster > > > 6969/tcp filtered acmsoda > > > > > > > Dans la conf de ton firewall, tu as dû mettre comme action reject pour > > certains ports (ceux qui sont filtered). Dans ce cas, la machine renvoie > > un RST, un petit coup de ethereal qui confirme. > > Non, justement, je n'ai rien fait de tel. Ce qui m'a fait suspecter > une anomalie. > > Au cours des appels successifs à nmap, la liste des « filtered » ne > cessait d'évoluer. Quelques échantillons : > > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 17:28 CET > Interesting ports on folette (81.56.210.7): > (The 1654 ports scanned but not shown below are in state: closed) > PORT STATE SERVICE > 22/tcp open ssh > 53/tcp open domain > 80/tcp open http > 111/tcp open rpcbind > 113/tcp open auth > 411/tcp filtered rmt > 991/tcp open unknown > 1214/tcp filtered fasttrack > 6699/tcp filtered napster > > Nmap finished: 1 IP address (1 host up) scanned in 78.637 seconds > > Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-16 17:35 CET > Interesting ports on folette (81.56.210.7): > (The 1655 ports scanned but not shown below are in state: closed) > PORT STATE SERVICE > 22/tcp open ssh > 53/tcp open domain > 80/tcp open http > 111/tcp open rpcbind > 113/tcp open auth > 412/tcp filtered synoptics-trap > 991/tcp open unknown > 1234/tcp filtered hotline > > Nmap finished: 1 IP address (1 host up) scanned in 81.300 seconds > > David, lui (sollicité par message privé), de son côté a trouvé aux > mêmes heures 335 écoutilles ouvertes (je n'ai qu'une partie de la > liste). > > Le succès du nmap ne serait-il tout simplement dépendant du chemin > suivi par les paquets (par exemple, il semble que les réseaux Wanadoo > filtrent d'office 135/tcp msrpc et 445/tcp microsoft-ds) ? Ou bien > est-un indice probant d'une intrusion ? (Je n'ai jamais relevé cela > sur mes machines usuellement, mais je ne passe pas ma vie à faire des > nmap.) La poursuite des investigations (de nouveaux essais) laisse penser que ce nous avons pris pour une intrusion était en fait un faux-positif lié à notre mauvaise compréhension des résultats de nmap (qui répondrait des choses différentes selon l'endroit d'où on l'utilise). Pour confirmer cette hypothèse, quelques lecteurs de cette liste pourraient-il m'envoyer (en perso pour ne pas polluer la liste) le résultat de commandes $ nmap 81.56.210.7 faites depuis chez eux. Si cette explication est la bonne, le machine n'a jamais été piratée et il n'y aura rien à trouver jeudi soir. Librement, (et merci d'avance) Frédéric
Attachment:
signature.asc
Description: Digital signature