Bonjour,
 
Alors en guise de préambule, il faut savoir que je suis mauvais en réseau et nul en sécurité.
 
Ceci étant dit, voici la source de mon inquiétude (car je suis inquiet, je ne vous le cache pas).
 
Après avoir tapé :

et obtenu :

dans un premier temps, je me suis dit que ça faisait beaucoup de trucs ouverts, donc sans doute pas mal de trucs inutiles à virer. Et puis en regardant de plus près, j'ai été pris de sueurs froides en voyant des noms suspects comme Elite, bo2k ou encore Trinoo_Master...
 
J'ai comme qui dirait l'impression d'avoir été l'innocente petite victime de vilains ElItE HacKeRZ désoeuvrés... Me trompe-je ? (Allez-y, n'ayez pas peur, je saurai être fort !)
 
D'où ces quelques questions :
1. Que dois-je faire ?
2. Comment qui-z-ont fait ?
3. Comment éviter que ça se reproduise ?
4. Que me conseillez-vous comme lectures pour devenir une petite victime un peu moins facile ?
 
Merci pour vos réponses.

Commences par arréter tous les services dont tu ne te sers pas. Quelle est ta distribution. Si mandrake/mandriva tu as un panneau de controle pour ca.
 
Sinon passe par /etc/init.d/ ou /etc/rcX.d (avec X ton runlevel, 5 pour pratiquement toute les distrib, 2 pour debian). Ensuite supprime les liens symoliques dans /etc/rcX.d qui ne te servent a rien (soit en supprimant en bourrin, soit par un panneau de controle quelconque ou par rc.update

Voilà, c'est fait.
 
Notez que quand j'ai arrêté le service portsentry, le nmap ne me donnait plus que ça:

Etrange, non ?
 
PS: Note: je suis sous Debian.

arrete portmap, arrete ipp qui est un daemon pour imprimer

Voilà...

Question de gros nul : comment as-tu fait le lien entre "111/tcp open  rpcbind" et portmap ?

non

parce que
rpc portmap bind toussa quoi

Je viens de relire ton message : oublie ma question, j'avais zappé ipp ! D'ailleurs je ne trouve rien qui ressemble à ipp dans /etc/init.d/...

cupsys

ensuite tu feras un

et tu noteras le processus à droite qui est en écoute sur ce port

Ne me dis pas que les trucs du genre Elite & Co. sont des services normaux qui dépendent de portsentry !??!?

Merci, j'avais fini par trouver...
 

Voilà:

portsentry est de mémoire un outils permettant de détecter les scans de ports.
Je ne sais pas comment il marche mais il peut ouvrir des ports pour leurrer.

arrete les trucs en rapport avec nfs
nfs-common et nfs-kernel-server (de mémoire). Ca devrait suffire, je ne me rappelle plus lequel est ce.

nfs-common

Ok! C'est cool, nmap ne renvoie plus rien...
Alors... Verdict ? 'l est vérolé ou pas ? Et qu'est-ce-que je dois mettre en place comme protection élémentaire ?

Je ne penses pas.
Un firewall ?

Si c'est le cas, il aurait été installé à mon insu !
 
A la base, j'ai une Kaella avec un certain nombre de paquets ajoutés à la main. Je n'ai pratiquement jamais rien désinstallé, donc il doit y avoir un tas de trucs qui tournent sans que j'en aie vraiment besoin.
Mais quand j'ai vu les Elite et autres, j'ai commencé à flipper (j'ai cru comprendre que certains root-kits nécessitaient la réinstallation complète du système!). Je suis donc décidé à sécuriser un minimum mon ordi, mais je ne sais pas trop par où commencer...
Tu me conseilles quoi ?
 
Au fait, merci d'avoir pris autant de temps pour m'aider, c'est vraiment sympa !

quelques idées :
tu peux commencer par ne pas lancer les services dont tu n'as pas besoin.
Ensuite, tu configures les services lancés de façon à limiter les risque, par exemple, si tu es seul sur ton réseau, tu limites cups à localhost (127.0.0.1), ça ne sert à rien qu'il écoute sur le net.
interdire le log direct en root pour les shells offre un peu de sécurité en plus (ssh et les terminaux locaux)
mettre des limites au nombre de process, la RAM etc (voir /etc/security/limits.conf)
faire les mises à jour de sécurité
mettre un firewall si nécessaire.
...

Ce topic m'interesse, et particulierement portmap. J'ai ce service qui est apparemment installé sur ma debian mais il a du s'installer par dépendance. A quoi sert concrètement ce service ?
 
Sinon je n'ai pas les commandes rc.update ni nmap et je n'ai pas trouvé à quels paquets elles appartiennent (un apt-file search ne m'a rien renvoyé).
 
Je souhaiterais désactiver portmaper, si quelqu'un peut m'aider, merci

pour nmap c'est nmap
portmap permet de gérer les RPCs utilisé par nfs entre autres

1. Ca, ça se configure séparément dans les fichiers de configuration de chaque service, ou bien existe-t-il un moyen de généraliser ça pour tous les services de la machine ? Pour le cas de cups, j'ai ceci dans mon /etc/cups/cupsd.conf :

Je pense que c'est correct, non ? Comment puis-je savoir si un service est accessible de l'extérieur (sans essayer depuis une autre machine) ?
 
2. Je ne savais même pas que c'était possible ça ! De quel côté dois-je chercher pour en savoir plus là-dessus ?
 
3. Ca ne risque pas de me pénaliser au niveau des performances ?
 
4. Si nécessaire ? A partir du moment où on est connecté à Internet, n'est-ce pas nécessaire ? Qu'existe-t-il comme autre moyen de se protéger ?
 
Question subsidiaire : comment savoir qu'un ordi est verrolé (troyen, back-orifice, etc.) ?

Lance nmap sur ton adresse qui a acces a internet et tu sauras si des services ecoutent sur cette adresse.
Par exemple, moi: nmap 192.168.1.104 mais c'est stupide vu que je suis derriere un routeur donc si je ne fais pas du port forwarding, je ne risque rien même avec des port en ecoute.
Mais toi, si tu es directement connecté a internet, fais un nmap sur ton adresse ip.
 
chkrootkit pour verifier la presence de rootkit.

Si la machine connectée à internet ne fait pas de routage ET qu'aucun service n'est en écoute sur l'interface connectée à internet.
 
Toujours est-il qu'un firewall permet également de controler ce qui sort => évite de polluer internet si ta machine est vérolée

 
microsoft-ds c'est samba (ou lié a samba) ?
Comment désactiver portmap sans virer à la barbare les liens symboliques (à part le chmod -x) ? Pour l'instant ce service ne me sert à rien.
 
edit: aptitude purge portmap on va pas se prendre la tête, en plus ca libère de l'espace disque
 
Par contre je suis surpris de voir smtp dans la liste, c'est un serveur smtp qui tourne sur ma machine ? Pareil je voudrais le désactiver.

avec update-rc.d

 
1. c'est service par service ; et ça me semble correct
 
2. dans le fichier /etc/securetty, tu supprimes/commentes les lignes avec ttyX et celles avec vc/X ; pour ssh, c'est dans sshd_config, option "PermitRootLogin no"
 
3. non, le but, c'est de limiter par exemple le nombre de process maximum, par ex à 384, ça empêche certaines bombes logiques de s'éxécuter sans bloquer un usage normal du système.
 
4. l0ky a déjà répondu ; comme autre moyen, une machine à jour, sans service écoutant sur le web est déjà bien sécurisée.
 

Un lien qui a l'air pas mal (et qui devrait m'occuper un bon moment!) :
http://www.debian.org/doc/manuals/ [...] ex.fr.html
 
Merci à tous pour vos réponses !