Bonsoir,
Je relisais les lignes de mon checksecurity bi-hebdomadaire en confiance et détendu quand je suis tombé sur ça :
...
Checking `bindshell'... INFECTED (PORTS: 600)
...
Donc, y aurait comme un souci. je me rensigne en parallèle là et là sur ce qui se passe et quoi faire mais uncoup de main serait le bienvenu en bonus...
C'est un poste non critique, usage bureautique-internet mais avec pas mal de données perso précieuses (travaux universiatires, potos, etc.).
Qu'est-ce qu'on fait, Chef ?
Merci à vous, Heureux forumeurs sains & gaillards !!
Yoj'
# "chkrootkit" bien sûr et non "chksecurity" !!
Posté par yojik77 . Évalué à 2.
http://linuxfr.org/comments/530260.html#530260(...)
Par ailleurs, je n'utilise pas klaxon ni PortSentry, ce qui élimine une possibilité de faux-positif.
http://www.chkrootkit.org/faq/#7(...)
Par ailleurs, en relançant un chkrootkit, j'obtiens ce résultat :
Checking `bindshell'... attention, ligne unix en erreur.
INFECTED (PORTS: 600)
Bref, je ne sais pas trop où je vais avec cette affaire. Je vais tenter du "./chkrootkit -x | more" pour voir si j'ai plus d'infos exploitables (sic).
Yoj'
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par LaBienPensanceMaTuer . Évalué à 6.
Ensuite, un bête telnet dessus pourra peut etre te donner plus d'infos.
Il s'agit peut être d'un soft que tu as installé mais dont tu ne te souviens plus.
Pour finir essaye donc un netstat -ltpn en tant que root pour voir quel programme est en écoute. Attention toutefois, si tu t'es fait piraté par quelqu'un de compétent, cette commande peut très bien ne plus être digne de confiance.
Après, si il s'avère que ta machine est réellement aux mains d'un vil pirate, je te conseillerai de sauvegarder tes documents et de réinstaller ton système. En effet, si l'individu est malin, il aura pris soin de pourrir intégralement ton système.
Sur ce bonne soirée (sic) ....
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par yojik77 . Évalué à 1.
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-15 00:28 CEST
Interesting ports on l05m-212-194-120-220.d4.club-internet.fr (212.194.120.220):
(The 1660 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
606/tcp open urm
Nmap finished: 1 IP address (1 host up) scanned in 0.317 seconds
****
C'est qui rpcbind ??
on le retrouve ci-dessous en plus...
**
Pour telnet, il n'y a rien qui passe (j'ai anonymisé mon IP en abc.def, si je suis peut-être vérolé, je ne suis pas non plus totalement moisi !) :
telnet 212.194.abc.def
Trying 212.194.abc.def...
telnet: Unable to connect to remote host: Connection refused
**
Pour netstat, voilà ma sortie :
Herissonodrome:/home/yoj# netstat -ltpn
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1859/portmap
tcp 0 0 0.0.0.0:4662 0.0.0.0:* LISTEN 14481/amule
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2105/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2091/exim4
tcp 0 0 0.0.0.0:606 0.0.0.0:* LISTEN 2120/rpc.statd
Bon, je vais fermer ma connexion et j'y reviendrai demain depuis un autre OS. mais tout celà m'ennuie bien...
Yoj' pertubé mais baîllant !
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par gros_rouge . Évalué à 7.
T'aurais dû en faire de même avec le listing de nmap...
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par yojik77 . Évalué à 1.
> l05m-212-194-120-220.d4.club-internet.fr (212.194.120.220):
Arff, caramba, encore raté !!
Puisque tu m'as l'air bien plus réveillé que moi, que penses-tu de mes sorties ? Cracra ou pas si grave ??
Ceci dit, Dodo d'urgence, moi...
Yoj' --usé
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par Ph Husson (site web personnel) . Évalué à 3.
mais
telnet localhost 600
PS:amule c'est lourd mal etc
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par yojik77 . Évalué à 1.
ça donne ça alors :
telnet localhost 600
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
C'est plutôt mieux que mauvais, j'ai bon ?
Par ailleurs, Soyez tous (Gérard, Fabrice, Ph?ilippe?), moultement remerciés et plussoyés pour vos efforts nocturnes pour me soutenir et me réconforter, j'apprécie beaucoup. Merci vraiment !
La buena notte,
Yoj'
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par LaBienPensanceMaTuer . Évalué à 2.
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par yojik77 . Évalué à 2.
;-)
Yoj'
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par yojik77 . Évalué à 1.
Je sais, j'opine, j'ai honte.
Tout confus suis je
[^] # Re: "chkrootkit" bien sûr et non "chksecurity" !!
Posté par ~ lilliput (site web personnel) . Évalué à 2.
ca permet de vérifié l'intégrité de tes fichiers.
Un conseil backup les signatures crypté sur une clef usb/autre support. Ca te permet de connaitre les fichiers modifié.
Attention vérifié avant les upgrade et updates les signature juste après les upgrades.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# re
Posté par LaBienPensanceMaTuer . Évalué à 4.
Plutôt rassurant mais ce n'est pas non plus garanti que ton PC se porte comme un charme.
Ceci dit en passant, le rpc.statd qui écoute sur le 606, cela me semble assez bizarre, d'autant plus que rpc.statd s'accompagne généralement de tout un tas d'autre services:
[root@mass]:~# netstat -lptn |grep rpc
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN 23870/rpc.nfsd
tcp 0 0 0.0.0.0:839 0.0.0.0:* LISTEN 21433/rpc.statd
tcp 0 0 0.0.0.0:732 0.0.0.0:* LISTEN 23872/rpc.mountd
Ce service est il réellement installé sur ta machine ? Si oui, en as tu réellement besoin ? Le passé des services rpc est plutôt chargé ...
Bon courage.
[^] # Re: à propos des services rpc sur le port 606
Posté par yojik77 . Évalué à 1.
C'est bien mon souci effectivement. Synaptic me renvoie une liste de 18 paquets liés à "rpc" dans l'archive "sarge". je n'en ai instalé aucun. Je n'aime pas ça...
A quoi ça sert d'ailleurs, ce service "rpc" ??
ce qui m'épate ce que j'ai configuré Shorewall aux petits oignons et que mon ordi est normalement très très discret à scanner (divers tests en lignes...).
Dans le doute je vais certainement réinstaller ma bécane (et ça ne m'amuse pas, je n'ai pas installé une Debian pour ça...) mais comment éviter que cela se reproduise, là, je calle un peu ?
Yoj'
[^] # Re: à propos des services rpc sur le port 606
Posté par yojik77 . Évalué à 2.
Ooooups
En creusant un peu mieux, je trouve 61 paquets dont "portmap". Celui-ci a du être installé à cause du paquet "nfs" dont je n'ai pas grand usage, en fait.
je le dpkg-reconfigure ou je le supprime purement et simplement ??
Yoj'
[^] # Re: à propos des services rpc sur le port 606
Posté par LaBienPensanceMaTuer . Évalué à 2.
Fausse alerte donc !
# Le mot de la fin ??
Posté par yojik77 . Évalué à 1.
Les sorties de netstat -ltpn et de de nmap en sont significativement raccourcie.
Plus intérêssant, le chkrootkit est désormais négatif.
2 options façon Platon :
- soit je suis toujours compromis et le ménage a été fait par l'intrus en même temps que je désinstallais portmap (vraisemblance infime)
- soit il s'agissait d'un faux-positif lié à portmap, qui ne s'était jamais produit précédemment sur mon système, soit que j'ai installé portmap il y a peu sans m'en rendre compte (??!), soit que la conjonctionde portmap avec un autre programme (amule ?) puisse donner lieu à erreur. (vraisemblance significative)
Je suis donc rassuré jusqu'à plus ample informé mais j'apprécie tous les complèments que vous pourriez verser au dossier !!
Merci encore à tous !
Yoj'
[^] # Re: Le mot de la fin ??
Posté par gros_rouge . Évalué à 3.
Ce faux-positif n'est pas lié à portmap mais au paquet « nfs-common » [1]. Ce paquet contient l'exécutable rpc.statd [2] que tu peux voir dans les sorties de netstat et de nmap.
rpc.statd est lancé par le service /etc/init.d/nfs-common et le numéro de port est, par défaut, assigné par portmap [3].
Si tu souhaites à nouveau faire gueuler chkrootkit, fais :
• # apt-get install nfs-common
• édite le fichier /etc/default/nfs-common et spécifie le port 600 comme port d'écoute STATDOPTS="--port 600"
Sinon, je te conseille d'identifier les services lancés sur ta machine et de ne garder que ceux qui te sont réellement nécessaires. Ça sera des failles potentielles en moins et facilitera l'audit de ton système.
[1] http://packages.debian.org/stable/net/nfs-common(...)
[2] http://packages.debian.org/cgi-bin/search_contents.pl?searchmode=fi(...)
[3] rpc.statd(8)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.