View previous topic :: View next topic |
Author |
Message |
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Fri Apr 07, 2006 7:55 am Post subject: [off/Debian] chkrootkit a trouve quelque chose [resolu] |
|
|
Sur un de mes PCs, je me suis mis sur debian pour essayer. C'est un PC alllume 24h/24. Il fait un chkrootkit tous les 24h. Aujourd'hui, il a trouve quelque chose et ca m'inquiete beaucoup.
Quote: | Checking `bindshell'... INFECTED (PORTS: 4000) |
De plus, j'ai aussi une erreur qui apparait sur mon terminal mais je ne sais pas si c'est lie. De plus, je n'ai rien trouve sur google
Quote: | verifySignature: BER decode error |
En faisant un nmap de mon PC, voila, ce que j'ai :
Quote: |
21/tcp open ftp
22/tcp open ssh
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn
445/tcp open microsoft-ds
721/tcp open unknown
4000/tcp open remoteanything |
Quelqu'un saurait il ce qu'est vraiment ce port 4000 ?
Et si cela est un vrai acte de piratage, quelles actions puis-je tenter ?
Merci d'avance. _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no
Last edited by nico_calais on Fri Apr 07, 2006 8:33 am; edited 1 time in total |
|
Back to top |
|
|
arlequin l33t
Joined: 16 Nov 2002 Posts: 707 Location: grep $USER /etc/passwd | cut -d':' -f6
|
Posted: Fri Apr 07, 2006 8:10 am Post subject: |
|
|
Perso, aucune idée, mais tu peux faire :
Code: | # netstat --ip -anp |
pour savoir quel programme a ouvert ce port. _________________ J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
Back to top |
|
|
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Fri Apr 07, 2006 8:32 am Post subject: |
|
|
Ok, fausse alerte...c'est mon mldonkey _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
|
ultrabug Developer
Joined: 24 Jan 2005 Posts: 698 Location: Paris
|
Posted: Fri Apr 07, 2006 8:36 am Post subject: |
|
|
nico_calais wrote: | Ok, fausse alerte...c'est mon mldonkey |
Pirate ! |
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Fri Apr 07, 2006 9:33 am Post subject: |
|
|
Attends, ça beugle parceque mldonkey est installé ou parceque mldonkey vient de se faire défoncer??? |
|
Back to top |
|
|
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Fri Apr 07, 2006 9:47 am Post subject: |
|
|
J'ai de nouveau peur ! En regardant de plus pret, c'est la connexion telnet de mldonkey ! Et tout a l'heure y avait deux adress IP connectees dessus.
Faut que je vois pour la desactiver tout de suite
EDIT : j'ai re-parle trop vite.
Quote: | tcp 0 0 192.168.0.3:36685 88.7.55.235:4000 ESTABLISHED27042/mldonkey
tcp 0 0 192.168.0.3:36813 24.232.38.39:4000 ESTABLISHED27042/mldonkey |
Ce sont les connexions exterieurs qui ont le port 4000....
Ca doit aussi expliquer lle warning du chkrootkit. Il a vu qu'on pouvait se connecter en telnet via ce port, enfin je pense. _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
|
|