[gull] intrusion?

Leopoldo Ghielmetti Leopoldo.Ghielmetti at a3.epfl.ch
Tue Jan 27 14:53:01 CET 2004 

Et que te dit "netstat -ap"?

ciao, Leo

----- Original Message ----- 
From: "Vuko Brigljevic" <Vuko.Brigljevic at cern.ch>
To: <gull at lists.alphanet.ch>
Sent: Tuesday, January 27, 2004 2:06 PM
Subject: [gull] intrusion?


> Tout me porte a croire qu'un de mes PC vient d'etre victime
> d'une intrusion:
>
> En faisant un portscan sur une de mes machines avec nmap, je decouvre
> que le port 997 est ouvert, qui d'apres /etc/services correspond
> a maitrd (aucune idee de ce qu'est maitrd et une recherche sur
> google ne m'a rien appris d'utile a part que c'est bien le service
> correspondant a 997). En me loggant par telnet sur ce port, je
> vois bien que quelque chose repond (telnet sur un port vide
> donne "connection refused") mais je ne trouve pas le proces
> qui y correspond. Apres avoir redemarre la machine, je vois
> cette fois que le port 989 est ouvert, correspondant
> a ftps-data (voir output de nmap ci-dessous). Au redemarrage
> suivant, c'est au tour du port 985 d'etre ouvert. C'est
> comme si un petit malin s'amusait a ouvrir son cheval
> de Troie a chaque fois sur un autre port.
>
> Quelqu'un aurait-il une autre explication que l'intrusion???
>
> Je viens en fait de reinstaller cette machine avec SuSE 8.2
> et j'ai charge tout de suite les patches de securite de
> SuSE pendant l'installation. J'ai de tres bonnes raisons de
> croire que la machine etait compromise avant. L'intrus
> a donc probablement immediatement essaye de regagner
> "son bien".
>
> Vuko
>
>
> PS: l'output de nmap
>
>
> ~ # nmap -v HOST
>
> Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
> No tcp,udp, or ICMP scantype specified, assuming SYN Stealth scan. Use -sP
if
> you really don't want to portscan (and just want to see what hosts are
up).
> Host HOST (x.y.z.w) appears to be up ... good.
> Initiating SYN Stealth Scan against HOST (x.y.z.w)
> Adding open port 111/tcp
> Adding open port 989/tcp
> Adding open port 6000/tcp
> Adding open port 22/tcp
> The SYN Stealth Scan took 0 seconds to scan 1601 ports.
> Interesting ports on HOST (x.y.z.w):
> (The 1597 ports scanned but not shown below are in state: closed)
> Port       State       Service
> 22/tcp     open        ssh
> 111/tcp    open        sunrpc
> 989/tcp    open        ftps-data
> 6000/tcp   open        X11
>
> Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
> ~ # ps aux | grep ftp
> root      8246  0.0  0.0  3544  500 pts/7    S    10:57   0:00 grep ftp
>
>
> -- 
> ===========================================================|
>  Vuko Brigljevic                                           |
>  Rudjer Boskovic Institute                                 |
>  --------------------------------------------------------- |
>  Mail Address: Bijenicka cesta 54, P.O.B. 180              |
>                10002 Zagreb Croatia                        |
>  Phone       : +385-1- 468 0204                            |
>  www         : http://cern.ch/vuko                         |
> ===========================================================|
>
>
>
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>
>
>

More information about the gull mailing list