[gull] intrusion? : fausse alerte
Vuko Brigljevic
Vuko.Brigljevic at cern.ch
Tue Jan 27 15:32:01 CET 2004
Merci pour toutes les reponses!
Probablement fausse alerte apres tout, due a mon ignorance
et ma betise. Le mysterieux daemon n'etait autre que ypbind.
C'est Leo qui m'a mis sur la bonne piste:
On Tuesday 27 January 2004 14:50, Leopoldo Ghielmetti wrote:
> Et que te dit "netstat -ap"?
# netstat -ap | grep 985
tcp 0 0 *:985 *:* LISTEN
1228/ypbind
ce qui est rapidement confirme par rpcinfo:
(notez au passage que j'ai appris ceci sur la liste il
y a quelques semaines :)
# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 32768 status
100024 1 tcp 32768 status
100007 2 udp 982 ypbind
100007 1 udp 982 ypbind
100007 2 tcp 985 ypbind
100007 1 tcp 985 ypbind
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32770 nlockmgr
100021 3 udp 32770 nlockmgr
100021 4 udp 32770 nlockmgr
100005 1 udp 32771 mountd
100005 1 tcp 32769 mountd
100005 2 udp 32771 mountd
100005 2 tcp 32769 mountd
100005 3 udp 32771 mountd
100005 3 tcp 32769 mountd
Ce PC est effectivement client NIS. J'ignorais que ypbind
ouvrait en fait un serveur.
Encore quelques commentaires/questions au message de Daniel:
On Tuesday 27 January 2004 14:51, you wrote:
>
> 1 ) Dump de ce qui est ecahnge sur ce port (tcpdump. ethereal...), afin de
> determiner d'ou viennent les requetes et ce qui est recherche.
Si quelqu'un connait la syntaxe de filtre correspondate (ne regarder
que ce qui rentre/sort par un port), je serais tres reconnaissant.
Sinon, j'irai RTFM ;)
> 3 ) Ou bin te faire ta propre configuration de firewall avec iptables.
Je l'avais fait, et en fait limite l'acces a tous les ports systeme
a quelques machines. Je craignais donc qu'il y ait egalement du
spoofing en question.
> 4 ) Chercher dans /etc/init.d/rc?.d un script qui serait executer au
> demarage. Ou alors crontab -l
J'avais regarde.
> 5 ) Verifier si ton systeme n'envoie pas des mails a ton insu
Comment fairais-tu ca? Regarder avec tcpdump si tu vois un
qqch sortir a destination du port TCP 25?
> 6 ) Demarrer l'accounting
??? Qu'est-ce que c'est?Y
> 7 ) Installer des packages de detection d'intrusion
Du genre chkrootkit. Qqn en connait d'autres?
Merci encore a tous,
Vuko
--
===========================================================|
Vuko Brigljevic |
Rudjer Boskovic Institute |
--------------------------------------------------------- |
Mail Address: Bijenicka cesta 54, P.O.B. 180 |
10002 Zagreb Croatia |
Phone : +385-1- 468 0204 |
www : http://cern.ch/vuko |
===========================================================|
More information about the gull
mailing list