| View previous topic :: View next topic |
| Author |
Message |
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
 Posted: Fri Apr 07, 2006 7:55 am Post subject: [off/Debian] chkrootkit a trouve quelque chose [resolu] |
 |
|
Sur un de mes PCs, je me suis mis sur debian pour essayer. C'est un PC alllume 24h/24. Il fait un chkrootkit tous les 24h. Aujourd'hui, il a trouve quelque chose et ca m'inquiete beaucoup.
| Quote: | | Checking `bindshell'... INFECTED (PORTS: 4000) |
De plus, j'ai aussi une erreur qui apparait sur mon terminal mais je ne sais pas si c'est lie. De plus, je n'ai rien trouve sur google
| Quote: | | verifySignature: BER decode error |
En faisant un nmap de mon PC, voila, ce que j'ai :
| Quote: |
21/tcp open ftp
22/tcp open ssh
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn
445/tcp open microsoft-ds
721/tcp open unknown
4000/tcp open remoteanything |
Quelqu'un saurait il ce qu'est vraiment ce port 4000 ?
Et si cela est un vrai acte de piratage, quelles actions puis-je tenter ?
Merci d'avance.
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no
Last edited by nico_calais on Fri Apr 07, 2006 8:33 am; edited 1 time in total |
|
| Back to top |
|
 |
arlequin
l33t
Joined: 16 Nov 2002
Posts: 707
Location: grep $USER /etc/passwd | cut -d':' -f6
|
| Posted: Fri Apr 07, 2006 8:10 am Post subject: |
|
|
Perso, aucune idée, mais tu peux faire :
| Code: | | # netstat --ip -anp |
pour savoir quel programme a ouvert ce port.
_________________
J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Fri Apr 07, 2006 8:32 am Post subject: |
|
|
Ok, fausse alerte...c'est mon mldonkey 
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
ultrabug
Developer
Joined: 24 Jan 2005
Posts: 698
Location: Paris
|
| Posted: Fri Apr 07, 2006 8:36 am Post subject: |
|
|
| nico_calais wrote: | | Ok, fausse alerte...c'est mon mldonkey |
Pirate !  |
|
| Back to top |
|
|
Enlight
Advocate
Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)
|
| Posted: Fri Apr 07, 2006 9:33 am Post subject: |
|
|
| Attends, ça beugle parceque mldonkey est installé ou parceque mldonkey vient de se faire défoncer??? |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Fri Apr 07, 2006 9:47 am Post subject: |
|
|
J'ai de nouveau peur ! En regardant de plus pret, c'est la connexion telnet de mldonkey ! Et tout a l'heure y avait deux adress IP connectees dessus.
Faut que je vois pour la desactiver tout de suite 
EDIT : j'ai re-parle trop vite.
| Quote: | tcp 0 0 192.168.0.3:36685 88.7.55.235:4000 ESTABLISHED27042/mldonkey
tcp 0 0 192.168.0.3:36813 24.232.38.39:4000 ESTABLISHED27042/mldonkey |
Ce sont les connexions exterieurs qui ont le port 4000....
Ca doit aussi expliquer lle warning du chkrootkit. Il a vu qu'on pouvait se connecter en telnet via ce port, enfin je pense.
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
|
French
