[debian] A marche + comprend pas en ai marre !

Marsh Posté le 10-05-2003 à 11:44:29

Salut a tous !

Voila j'ai un gros problème. J'ai monté une petite passerelle avec un vieux pc et j'ai installé une debian woody dessus. Tout allait bien dans le meilleur des mondes lorsque j'ai du arrêté ma machine pour une petite nuit. Maintenant quand je reboote j'ai plein de jolie message de ce type :

eth0 : Promiscuous mode enabled !

et ca a vraiment du mal a booter.

D'ou est ce que ca peut venir ce message bizarre !
J'en ai marre je sais plus trop quoi faire ni comment m'y prendre?

voila si quelqu'un a une idée !

Merci

Reply

Marsh Posté le 10-05-2003 à 11:44:29

Reply

Marsh Posté le 10-05-2003 à 11:49:46

en gros, le mode promiscuous d'une carte réseau, c'est quand elle envoie toutes les trames qui lui parviennent à une autre machine (en + de la destination initiale).
C'est utilisé quand tu veux sniffer un réseau et accessoirement quand tu veux/as cracker une machine...

m'est avis qu'un coup de www.chkrootkit.org ne fera pas de mal (après débranchement du réseau)

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Reply

Marsh Posté le 10-05-2003 à 12:01:28

Attend une sec ca voudrais dire que quelqu'un a piraté ma machine pour sniffer mon reseau local? C'est ça ?

Reply

Marsh Posté le 10-05-2003 à 12:04:02

pas sur, mais c'est une possibilité ( je ne crois pas qu'une carte puisse se mettre en promiscuous comme ça [:spamafote] )

débranche ta machine du nain ternet après avoir téléchargé chkrootkit puis éxécute le sur ta machine pour voir si tu es infecté par un rootkit (faux programmes utilisés par les crackers pour se ménager un accès à ta machine sans attirer l'attention et récupérer certaines infos sensibles)

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Reply

Marsh Posté le 10-05-2003 à 12:08:11

t'as pas portsentry ou snort qui tournent ?

Reply

Marsh Posté le 10-05-2003 à 12:15:37

Bon j'ai lancé chkrootkit, pour le moment rien d'apparement anormal!

Après je n'ai rien installé de particulier, j'ai tout installé a partir de la commande apt-get

portsentry, snort ? Comment je fait pour savoir si ca tourne ? (newbie inside).

Est ce que le fait que j'éteigne ma machine quand je suis sous x par shutdown -h now, ou avec un reboot est important ???

Reply

Marsh Posté le 10-05-2003 à 12:18:45

ps aux |grep snort
ps aux |grep porsentry
par exemple, mais c'est pas installe d'origine

Reply

Marsh Posté le 10-05-2003 à 12:33:56

Oui les deux processus snort et portsentry sont présents. Quand chkrootkit ca fait 5, 10 minutes qu'il reste bloquer sur inetdconf

Tient tout a l'heure quand j'ai téléchargeé chkrootkit le message eth0 truc c'est mis a revenir jusqu'a que je debranche mon modem. Bizarre !

Voila !

Comment est ce que je peux faire pour enlever ce promis truc sur eth0

merci !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Reply

Marsh Posté le 10-05-2003 à 12:37:21

portsentry et snort en ont besoin pour marcher donc soit tu les supprimes, soit tu les laisses si tu en as besoin

Reply

Marsh Posté le 10-05-2003 à 13:11:50

Bon et bien j'ai inetconf INFECTED les boules

Qu'est ce que je peux bien faire maintenant ???

Help !

Reply

Marsh Posté le 10-05-2003 à 13:11:50

Reply

Marsh Posté le 10-05-2003 à 13:37:24

reinstalle si tu t'as rien de special ou montre nous ton inetd.conf pour voir

Message édité par kelus le 10-05-2003 à 13:37:33

Reply

Marsh Posté le 10-05-2003 à 14:17:52

# /etc/inetd.conf: see inetd(8) for further informations.
#
# Internet server configuration database
#
#
# Lines starting with "#:LABEL:" or "#<off>#" should not
# be changed unless you know what you are doing!
#
# If you want to disable an entry so it isn't touched during
# package updates just comment it out with a single '#' character.
#
# Packages should modify this file by using update-inetd(8)
#
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
#
#:INTERNAL: Internal services
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
time stream tcp nowait root internal
#time dgram udp wait root internal

#:STANDARD: These are standard services.
ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd
telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd

#:BSD: Shell, login, exec and talk are BSD protocols.
talk dgram udp wait nobody.tty /usr/sbin/in.talkd in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd in.ntalkd

#:MAIL: Mail, news and uucp services.
smtp stream tcp nowait mail /usr/sbin/exim exim -bs
nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode

#:INFO: Info services
ident stream tcp wait identd /usr/sbin/identd identd
finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd

#:BOOT: Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as "boot servers."

#:RPC: RPC based services

#:HAM-RADIO: amateur-radio services

#:OTHER: Other services
xtel stream tcp nowait root /usr/sbin/tcpd /usr/sbin/xteld
vboxd stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vboxd
#<off># netbios-ns dgram udp wait root /usr/sbin/tcpd /usr/sbin/nmbd -a
#<off># netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd
#<off># swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat

voila mon inetd.conf et la commande chkrootkit -x me dit que j'ai une shell record in /etc/inet.conf

voila et enocre merci !

Reply

Marsh Posté le 10-05-2003 à 16:37:33

y a rien d'anormal qui me saute aux yeux
par contre, tu as des services a desactiver
essaie de passer a xinetd (apt-get install xinetd) pour voir si c'st pas chkrootkit qui deconne