[gull] intrusion? : fausse alerte

Vuko Brigljevic Vuko.Brigljevic at cern.ch
Tue Jan 27 15:32:01 CET 2004


Merci pour toutes les reponses! 

Probablement fausse alerte apres tout, due a mon ignorance
et ma betise. Le mysterieux daemon n'etait autre que ypbind.
C'est Leo qui m'a mis sur la bonne piste:

On Tuesday 27 January 2004 14:50, Leopoldo Ghielmetti wrote:
> Et que te dit "netstat -ap"?

 # netstat -ap | grep 985
tcp        0      0 *:985                   *:*                     LISTEN      
1228/ypbind

ce qui est rapidement confirme par rpcinfo:
(notez au passage que j'ai appris ceci sur la liste il
y a quelques semaines :)

 # rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  32768  status
    100024    1   tcp  32768  status
    100007    2   udp    982  ypbind
    100007    1   udp    982  ypbind
    100007    2   tcp    985  ypbind
    100007    1   tcp    985  ypbind
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100021    1   udp  32770  nlockmgr
    100021    3   udp  32770  nlockmgr
    100021    4   udp  32770  nlockmgr
    100005    1   udp  32771  mountd
    100005    1   tcp  32769  mountd
    100005    2   udp  32771  mountd
    100005    2   tcp  32769  mountd
    100005    3   udp  32771  mountd
    100005    3   tcp  32769  mountd


Ce PC est effectivement client NIS. J'ignorais que ypbind
ouvrait en fait un serveur.

Encore quelques commentaires/questions au message de Daniel:

On Tuesday 27 January 2004 14:51, you wrote:
>
> 1 ) Dump de ce qui est ecahnge sur ce port (tcpdump. ethereal...), afin de
> determiner d'ou viennent les requetes et ce qui est recherche.

Si quelqu'un connait la syntaxe de filtre correspondate (ne regarder
que ce qui rentre/sort par un port), je serais tres reconnaissant.
Sinon, j'irai RTFM ;)

> 3 ) Ou bin te faire ta propre configuration de firewall avec iptables.

Je l'avais fait, et en fait limite l'acces a tous les ports systeme
a quelques machines. Je craignais donc qu'il y ait egalement du
spoofing en question.

> 4 ) Chercher dans /etc/init.d/rc?.d un script qui serait executer au
> demarage. Ou alors crontab -l

J'avais regarde.

> 5 ) Verifier si ton systeme n'envoie pas des mails a ton insu

Comment fairais-tu ca? Regarder avec tcpdump si tu vois un
qqch sortir a destination du port TCP 25?

> 6 ) Demarrer l'accounting

??? Qu'est-ce que c'est?Y

> 7 ) Installer des packages de detection d'intrusion

Du genre chkrootkit. Qqn en connait d'autres?

Merci encore a tous,

Vuko

-- 
===========================================================|
 Vuko Brigljevic                                           |
 Rudjer Boskovic Institute                                 |
 --------------------------------------------------------- |
 Mail Address: Bijenicka cesta 54, P.O.B. 180              |
               10002 Zagreb Croatia                        |
 Phone       : +385-1- 468 0204                            |
 www         : http://cern.ch/vuko                         |
===========================================================|






More information about the gull mailing list