[debian] A marche + comprend pas en ai marre !

A marche + comprend pas en ai marre ! [debian] - Installation - Linux et OS Alternatifs

Marsh Posté le 10-05-2003 à 11:44:29    

Salut a tous !
 
Voila j'ai un gros problème. J'ai monté une petite passerelle avec un vieux pc et j'ai installé une debian woody  dessus. Tout allait bien dans le meilleur des mondes lorsque j'ai du arrêté ma machine pour une petite nuit. Maintenant quand je reboote j'ai plein de jolie message de ce type :
 
eth0 : Promiscuous mode enabled !
 
et ca a vraiment du mal a booter.  
 
D'ou est ce que ca peut venir ce message bizarre !
J'en ai marre je sais plus trop quoi faire ni comment m'y prendre?
 
voila si quelqu'un a une idée !
 
Merci  
 
 

Reply

Marsh Posté le 10-05-2003 à 11:44:29   

Reply

Marsh Posté le 10-05-2003 à 11:49:46    

en gros, le mode promiscuous d'une carte réseau, c'est quand elle envoie toutes les trames qui lui parviennent à une autre machine (en + de la destination initiale).
C'est utilisé quand tu veux sniffer un réseau et accessoirement quand tu veux/as cracker une machine...
 
m'est avis qu'un coup de www.chkrootkit.org ne fera pas de mal (après débranchement du réseau)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 10-05-2003 à 12:01:28    

Attend une sec ca voudrais dire que quelqu'un a piraté ma machine pour sniffer mon reseau local? C'est ça ?

Reply

Marsh Posté le 10-05-2003 à 12:04:02    

pas sur, mais c'est une possibilité ( je ne crois pas qu'une carte puisse se mettre en promiscuous comme ça  [:spamafote] )
 
débranche ta machine du nain ternet après avoir téléchargé chkrootkit puis éxécute le sur ta machine pour voir si tu es infecté par un rootkit (faux programmes utilisés par les crackers pour se ménager un accès à ta machine sans attirer l'attention et récupérer certaines infos sensibles)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 10-05-2003 à 12:08:11    

t'as pas portsentry ou snort qui tournent ?

Reply

Marsh Posté le 10-05-2003 à 12:15:37    

Bon j'ai lancé chkrootkit, pour le moment rien d'apparement anormal!
 
Après je n'ai rien installé de particulier, j'ai tout installé a partir de la commande apt-get
 
portsentry, snort ? Comment je fait pour savoir si ca tourne ? (newbie inside).
 
Est ce que le fait que j'éteigne ma machine quand je suis sous x par shutdown -h now, ou avec un reboot est important ???

Reply

Marsh Posté le 10-05-2003 à 12:18:45    

ps aux |grep snort
ps aux |grep porsentry  
par exemple, mais c'est pas installe d'origine

Reply

Marsh Posté le 10-05-2003 à 12:33:56    

Oui les deux processus snort et portsentry sont présents. Quand chkrootkit ca fait 5, 10 minutes qu'il reste bloquer sur inetdconf
 
Tient tout a l'heure quand j'ai téléchargeé chkrootkit le message eth0 truc c'est mis a revenir jusqu'a que je debranche mon modem. Bizarre !
 
Voila !
 
Comment est ce que je peux faire pour enlever ce promis truc sur eth0
 
merci !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Reply

Marsh Posté le 10-05-2003 à 12:37:21    

portsentry et snort en ont besoin pour marcher donc soit tu les supprimes, soit tu les laisses si tu en as besoin

Reply

Marsh Posté le 10-05-2003 à 13:11:50    

Bon et bien j'ai inetconf INFECTED les boules
 
Qu'est ce que je peux bien faire maintenant ???
 
Help !

Reply

Marsh Posté le 10-05-2003 à 13:11:50   

Reply

Marsh Posté le 10-05-2003 à 13:37:24    

reinstalle si tu t'as rien de special ou montre nous ton inetd.conf pour voir


Message édité par kelus le 10-05-2003 à 13:37:33
Reply

Marsh Posté le 10-05-2003 à 14:17:52    

# /etc/inetd.conf:  see inetd(8) for further informations.
#
# Internet server configuration database
#
#
# Lines starting with "#:LABEL:" or "#<off>#" should not
# be changed unless you know what you are doing!
#
# If you want to disable an entry so it isn't touched during
# package updates just comment it out with a single '#' character.
#
# Packages should modify this file by using update-inetd(8)
#
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
#
#:INTERNAL: Internal services
#echo  stream tcp nowait root internal
#echo  dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
discard  stream tcp nowait root internal
discard  dgram udp wait root internal
daytime  stream tcp nowait root internal
#daytime dgram udp wait root internal
time  stream tcp nowait root internal
#time  dgram udp wait root internal
 
#:STANDARD: These are standard services.
ftp  stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd
telnet  stream tcp nowait telnetd.telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd
 
#:BSD: Shell, login, exec and talk are BSD protocols.
talk  dgram udp wait nobody.tty /usr/sbin/in.talkd in.talkd
ntalk  dgram udp wait nobody.tty /usr/sbin/in.ntalkd in.ntalkd
 
#:MAIL: Mail, news and uucp services.
smtp  stream tcp nowait mail /usr/sbin/exim exim -bs
nntp  stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode
 
#:INFO: Info services
ident  stream tcp wait identd /usr/sbin/identd identd
finger  stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd
 
#:BOOT: Tftp service is provided primarily for booting.  Most sites
# run this only on machines acting as "boot servers."
 
#:RPC: RPC based services
 
#:HAM-RADIO: amateur-radio services
 
#:OTHER: Other services
xtel            stream  tcp     nowait  root    /usr/sbin/tcpd /usr/sbin/xteld
vboxd stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vboxd
#<off># netbios-ns dgram udp wait root  /usr/sbin/tcpd /usr/sbin/nmbd -a
#<off># netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd
#<off># swat  stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat
 
 
voila mon inetd.conf et la commande chkrootkit -x me dit que j'ai une shell record in /etc/inet.conf
 
voila et enocre merci !

Reply

Marsh Posté le 10-05-2003 à 16:37:33    

y a rien d'anormal qui me saute aux yeux :/  
par contre, tu as des services a desactiver  
essaie de passer a xinetd (apt-get install xinetd) pour voir si c'st pas chkrootkit qui deconne

Reply

Marsh Posté le 10-05-2003 à 17:24:34    

bon tant pis,
 
je vais réinstaller y a tout qui déconne.
 
je suis un peu vert :(

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed