j’ai un problème bizarre sur mon firewall :
il me semble que j’ai des connexions “fantomes” qui ne veulent pas se fermer et qui n’appartiennent à aucun processus…
en fait si: elles ont été initées par apache et restent bloquées sur le port 80 alors que apache est mort depuis longtemps, mais cette connexion fantome squatte le port 80 et empèche apache de redémarrer :
et c vrai que nmap localhost me trouve le port 80 ouvert !
alors forcément, j’ai voulut faire le malin avec des tests netstats et des tests lsof et voila ce que ca donne :
Houla !
déja yen a plein en cours de fermeture mais qui partent pas !
en plus ya ca :
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
qui confirme que qqun “écoute” sur le port 80
bon et lsof il donne quoi ?
rien de bizarre, c bizarre …
dernier ptit test et après j’arrive à court de ressource :
qu’est ce que je peut faire maintenant ??
apparemment j’ai l’ip de l’opportun vu que la connexion est “ESTABLISHED” mais je sais pas trop comment le virer ?
faut rebooter ?
bon, ben a priori tu ne peux te fier a aucune commande.
ps, ls netstat, passwd… ont toutes pu être modifié, en plus de ls -l, tu peux voir avec ls -lc (utilise ls depuis un livecd, le ls de ton systéme n’est pas sur) s’il y a des dates suspectes, et eventuellement utiliser find pour trouver tous les fichiers ayant été modifié le jour de la compromission.
Pour avoir des commandes saines, il faudrait les recompiler en static (sur un autre système).
Faut que tu check tes fichier init (inittab, init.d/, …) tes taches cron (/etc/cron) etc…
Enfin, un systéme compromis ne se “décompromise” pas, l’attaquant a pu faire tout et n’importe quoi… donc normalement tu dois reinstaller completement le système.
je vient de remarquer un autre truc bizarre
ls -l /sbin/tty*
-rwxr-xr-x 1 122 114 212747 Mar 18 2002 /sbin/ttyload
-rwxrwxr-x 1 122 114 93476 Mar 18 2002 /sbin/ttymon
et
ls -l /sbin/ifconfig*
-rwxr-xr-x 1 122 114 31504 Nov 24 2001 /sbin/ifconfig
c bizarre ces propriétaires 122 et ce groupe 114 ?
finalement je vais réinstaller comme tu a dit mais je peut pas trop le faire d’ici une semaine… comment faire pour pas que ca pete d’ici la ?
bon j’ai pas formatté g pas le temps mais j’ai trouvé un prog intéréssant : rkhunter
ca dit clairement les menaces qu’il ya eu sur les fichiers … ca peut se mettre en crontab aussi, et il fait plus de tests que chkrootkit.
sinon je suis en train d’éplucher mes logs pour trouver la vrais ip du méchant, j’ai regardé /var/log/syslog* /var/log/apache/*, qu’est ce que je regarde d’autre ?
oui g trouvé : g un script pour uploader des images et je sais pas comment mais il l’a utilisé pour uploader une zolie backdoor : http://www.ahid.com/bindit
puis un fichier php avec un exec dedans
ensuite je sais pas comment il a obtenu le root mais bon … est ce que c’est ca le plus important ?
last c pas mal mais ca remonte pas assez loin :’(
NB : g pas beaucoup de fichiers /var/log/messages* … c normal ?
de toutes facons ya pas grand chose dedans (a c ptet pas normal ca aussi …)
bonjour
sur win XP, j’ai des connexions reseau et sans fil fantome. j’ai desinstallé et reinstallé mes cartes wifi reseau et maintenant il m’affiche connexion au reseau local 10 (que sont les 9 premieres ???)
PS 1: pose une question spécifique, car ce fil de discussion est déjà ancien.
PS 2: les gens sur ce forums sont surtout spécialisés sur linux/MacOS, windows c’est sur d’autres forums. (dans la liste déroulante )
