A marche + comprend pas en ai marre ! [debian] - Installation - Linux et OS Alternatifs
Marsh Posté le 10-05-2003 à 11:49:46
en gros, le mode promiscuous d'une carte réseau, c'est quand elle envoie toutes les trames qui lui parviennent à une autre machine (en + de la destination initiale).
C'est utilisé quand tu veux sniffer un réseau et accessoirement quand tu veux/as cracker une machine...
m'est avis qu'un coup de www.chkrootkit.org ne fera pas de mal (après débranchement du réseau)
Marsh Posté le 10-05-2003 à 12:01:28
Attend une sec ca voudrais dire que quelqu'un a piraté ma machine pour sniffer mon reseau local? C'est ça ?
Marsh Posté le 10-05-2003 à 12:04:02
pas sur, mais c'est une possibilité ( je ne crois pas qu'une carte puisse se mettre en promiscuous comme ça )
débranche ta machine du nain ternet après avoir téléchargé chkrootkit puis éxécute le sur ta machine pour voir si tu es infecté par un rootkit (faux programmes utilisés par les crackers pour se ménager un accès à ta machine sans attirer l'attention et récupérer certaines infos sensibles)
Marsh Posté le 10-05-2003 à 12:15:37
Bon j'ai lancé chkrootkit, pour le moment rien d'apparement anormal!
Après je n'ai rien installé de particulier, j'ai tout installé a partir de la commande apt-get
portsentry, snort ? Comment je fait pour savoir si ca tourne ? (newbie inside).
Est ce que le fait que j'éteigne ma machine quand je suis sous x par shutdown -h now, ou avec un reboot est important ???
Marsh Posté le 10-05-2003 à 12:18:45
ps aux |grep snort
ps aux |grep porsentry
par exemple, mais c'est pas installe d'origine
Marsh Posté le 10-05-2003 à 12:33:56
Oui les deux processus snort et portsentry sont présents. Quand chkrootkit ca fait 5, 10 minutes qu'il reste bloquer sur inetdconf
Tient tout a l'heure quand j'ai téléchargeé chkrootkit le message eth0 truc c'est mis a revenir jusqu'a que je debranche mon modem. Bizarre !
Voila !
Comment est ce que je peux faire pour enlever ce promis truc sur eth0
merci !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Marsh Posté le 10-05-2003 à 12:37:21
portsentry et snort en ont besoin pour marcher donc soit tu les supprimes, soit tu les laisses si tu en as besoin
Marsh Posté le 10-05-2003 à 13:11:50
Bon et bien j'ai inetconf INFECTED les boules
Qu'est ce que je peux bien faire maintenant ???
Help !
Marsh Posté le 10-05-2003 à 13:37:24
reinstalle si tu t'as rien de special ou montre nous ton inetd.conf pour voir
Marsh Posté le 10-05-2003 à 14:17:52
# /etc/inetd.conf: see inetd(8) for further informations.
#
# Internet server configuration database
#
#
# Lines starting with "#:LABEL:" or "#<off>#" should not
# be changed unless you know what you are doing!
#
# If you want to disable an entry so it isn't touched during
# package updates just comment it out with a single '#' character.
#
# Packages should modify this file by using update-inetd(8)
#
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
#
#:INTERNAL: Internal services
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
time stream tcp nowait root internal
#time dgram udp wait root internal
#:STANDARD: These are standard services.
ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd
telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd
#:BSD: Shell, login, exec and talk are BSD protocols.
talk dgram udp wait nobody.tty /usr/sbin/in.talkd in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd in.ntalkd
#:MAIL: Mail, news and uucp services.
smtp stream tcp nowait mail /usr/sbin/exim exim -bs
nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode
#:INFO: Info services
ident stream tcp wait identd /usr/sbin/identd identd
finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd
#:BOOT: Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as "boot servers."
#:RPC: RPC based services
#:HAM-RADIO: amateur-radio services
#:OTHER: Other services
xtel stream tcp nowait root /usr/sbin/tcpd /usr/sbin/xteld
vboxd stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vboxd
#<off># netbios-ns dgram udp wait root /usr/sbin/tcpd /usr/sbin/nmbd -a
#<off># netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd
#<off># swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat
voila mon inetd.conf et la commande chkrootkit -x me dit que j'ai une shell record in /etc/inet.conf
voila et enocre merci !
Marsh Posté le 10-05-2003 à 16:37:33
y a rien d'anormal qui me saute aux yeux
par contre, tu as des services a desactiver
essaie de passer a xinetd (apt-get install xinetd) pour voir si c'st pas chkrootkit qui deconne
Marsh Posté le 10-05-2003 à 17:24:34
bon tant pis,
je vais réinstaller y a tout qui déconne.
je suis un peu vert
Marsh Posté le 10-05-2003 à 11:44:29
Salut a tous !
Voila j'ai un gros problème. J'ai monté une petite passerelle avec un vieux pc et j'ai installé une debian woody dessus. Tout allait bien dans le meilleur des mondes lorsque j'ai du arrêté ma machine pour une petite nuit. Maintenant quand je reboote j'ai plein de jolie message de ce type :
eth0 : Promiscuous mode enabled !
et ca a vraiment du mal a booter.
D'ou est ce que ca peut venir ce message bizarre !
J'en ai marre je sais plus trop quoi faire ni comment m'y prendre?
voila si quelqu'un a une idée !
Merci