[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une bonne nouvelle (appel à tests) : bilan

From Frederic Lehobey <Frederic dot Lehobey at free dot fr>
Subject Re: [gulliver] Une bonne nouvelle (appel à tests) : bilan
Date Thu, 23 Mar 2006 15:51:03 +0100 
Salut,

On Wed, Mar 22, 2006 at 03:33:21PM +0100, Frederic Lehobey wrote:

>   La poursuite des investigations (de nouveaux essais) laisse penser
> que ce nous avons pris pour une intrusion était en fait un
> faux-positif lié à notre mauvaise compréhension des résultats de nmap
> (qui répondrait des choses différentes selon l'endroit d'où on
> l'utilise). Pour confirmer cette hypothèse, quelques lecteurs de cette
> liste pourraient-il m'envoyer (en perso pour ne pas polluer la liste)
> le résultat de commandes
> 
>   $ nmap 81.56.210.7
> 
> faites depuis chez eux.
> 
>   Si cette explication est la bonne, le machine n'a jamais été piratée
> et il n'y aura rien à trouver jeudi soir.

  Un petit bilan. Merci à tous ceux qui m'ont envoyé des résultats de
scans. J'en ai reçu 12 par 9 personnes différentes.

  Sur les douze, un seul (!) décrit la machine telle que je la vois de
l'intérieur, à savoir

# netstat -lntup
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name   
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN     24082/dnsmasq       
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     1258/exim4          
tcp6       0      0 :::53                   :::*                    LISTEN     24082/dnsmasq       
tcp6       0      0 :::22                   :::*                    LISTEN     1283/sshd           
udp        0      0 0.0.0.0:32789           0.0.0.0:*                          24082/dnsmasq       
udp        0      0 0.0.0.0:53              0.0.0.0:*                          24082/dnsmasq       
udp        0      0 0.0.0.0:67              0.0.0.0:*                          24082/dnsmasq       
udp        0      0 0.0.0.0:68              0.0.0.0:*                          23834/dhclient      
udp6       0      0 :::53                   :::*                               24082/dnsmasq       

  Tous les autres (11) font apparaître des « ports » supplémentaires
comme ouverts ou « filtered ». J'ai même reçu à nouveau un cas qui
répondait que des dizaines étaient ouverts.

  Quelques exemples :

Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-03-22 15:38 CET
Interesting ports on lns-p19-28f-81-56-210-7.adsl.proxad.net (81.56.210.7):
(The 1663 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
53/tcp   open     domain
80/tcp   open     http
81/tcp   open     hosts2-ns
1723/tcp filtered pptp

Nmap finished: 1 IP address (1 host up) scanned in 15.500 seconds

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-03-22 16:40 CET
Interesting ports on lns-p19-28f-81-56-210-7.adsl.proxad.net (81.56.210.7):
(The 1668 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE
22/tcp   open     ssh
53/tcp   open     domain
1720/tcp filtered H.323/Q.931
5190/tcp open     aol

  Donc deux explications possibles :

    - la nouvelle machine à cette adresse a été à nouveau piratée en
quelques heures ; (je n'y crois plus une seule seconde)

    - nmap raconte n'importe quoi. (Je n'ai pas encore l'explication
rationnelle de ce comportement.)

  J'amène quand même ce soir les disques de la machine suspectée de
piratage, mais je doute désormais que nous trouvions quoi que ce soit.

Paradoxalement,
Frédéric

Attachment: signature.asc
Description: Digital signature