[gull] intrusion?

Vuko Brigljevic Vuko.Brigljevic at cern.ch
Tue Jan 27 14:06:00 CET 2004 

Tout me porte a croire qu'un de mes PC vient d'etre victime 
d'une intrusion:

En faisant un portscan sur une de mes machines avec nmap, je decouvre
que le port 997 est ouvert, qui d'apres /etc/services correspond
a maitrd (aucune idee de ce qu'est maitrd et une recherche sur
google ne m'a rien appris d'utile a part que c'est bien le service
correspondant a 997). En me loggant par telnet sur ce port, je
vois bien que quelque chose repond (telnet sur un port vide
donne "connection refused") mais je ne trouve pas le proces
qui y correspond. Apres avoir redemarre la machine, je vois
cette fois que le port 989 est ouvert, correspondant
a ftps-data (voir output de nmap ci-dessous). Au redemarrage
suivant, c'est au tour du port 985 d'etre ouvert. C'est
comme si un petit malin s'amusait a ouvrir son cheval
de Troie a chaque fois sur un autre port.

Quelqu'un aurait-il une autre explication que l'intrusion???

Je viens en fait de reinstaller cette machine avec SuSE 8.2
et j'ai charge tout de suite les patches de securite de 
SuSE pendant l'installation. J'ai de tres bonnes raisons de
croire que la machine etait compromise avant. L'intrus 
a donc probablement immediatement essaye de regagner
"son bien".

Vuko


PS: l'output de nmap


~ # nmap -v HOST

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
No tcp,udp, or ICMP scantype specified, assuming SYN Stealth scan. Use -sP if 
you really don't want to portscan (and just want to see what hosts are up).
Host HOST (x.y.z.w) appears to be up ... good.
Initiating SYN Stealth Scan against HOST (x.y.z.w)
Adding open port 111/tcp
Adding open port 989/tcp
Adding open port 6000/tcp
Adding open port 22/tcp
The SYN Stealth Scan took 0 seconds to scan 1601 ports.
Interesting ports on HOST (x.y.z.w):
(The 1597 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh
111/tcp    open        sunrpc
989/tcp    open        ftps-data
6000/tcp   open        X11

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
~ # ps aux | grep ftp
root      8246  0.0  0.0  3544  500 pts/7    S    10:57   0:00 grep ftp


-- 
===========================================================|
 Vuko Brigljevic                                           |
 Rudjer Boskovic Institute                                 |
 --------------------------------------------------------- |
 Mail Address: Bijenicka cesta 54, P.O.B. 180              |
               10002 Zagreb Croatia                        |
 Phone       : +385-1- 468 0204                            |
 www         : http://cern.ch/vuko                         |
===========================================================|

More information about the gull mailing list