[Résolu] Scan nmap avec des résultats inquiétants

d4v3 · 31-12-2018 04:05:45

Bonjour !

Je poste ici un problème qui m'inquiète et pour lequel je n'ai pas trouvé de réponses sur internet.
Après un scan de rkhunter de mon serveur (services: ssh, lamp), le résultat m'a retourné 3 backdoors 'possibles'. Bon, apparemment y'a pas de quoi s'inquiéter avec tous les faux positifs, mais je décide d'installer et utiliser portsentry.

Je lance donc un scan en localhost avec nmap et surprise: je retrouve des noms bizarres. Je cherche notamment "Trinoo(_Register)" en premier, et deuxième surprise, ça a pas l'air bon du tout d'après la recherche google mais je trouve pas de réponses spécifiques. Et encore, c'est que le premier

Voilà le retour de la commande

sudo nmap -sS -sU 127.0.0.1

Starting Nmap 7.40 ( https://nmap.org ) at 2018-12-31 03:49 CET

Nmap scan report for localhost (127.0.0.1)

Host is up (0.000019s latency).

Not shown: 1961 closed ports

PORT      STATE         SERVICE

1/tcp     open          tcpmux

79/tcp    open          finger

80/tcp    open          http

110/tcp   open          pop3

111/tcp   open          rpcbind

119/tcp   open          nntp

143/tcp   open          imap

443/tcp   open          https

993/tcp   open          imaps

995/tcp   open          pop3s

1080/tcp  open          socks

1234/tcp  open          hotline

1524/tcp  open          ingreslock

2000/tcp  open          cisco-sccp

3306/tcp  open          mysql

6667/tcp  open          irc

12345/tcp open          netbus

31337/tcp open          Elite

32771/tcp open          sometimes-rpc5

32772/tcp open          sometimes-rpc7

32773/tcp open          sometimes-rpc9

32774/tcp open          sometimes-rpc11

7/udp     open|filtered echo

9/udp     open|filtered discard

68/udp    open|filtered dhcpc

69/udp    open|filtered tftp

161/udp   open|filtered snmp

162/udp   open|filtered snmptrap

513/udp   open|filtered who

31335/udp open|filtered Trinoo_Register

31337/udp open|filtered BackOrifice

32770/udp open|filtered sometimes-rpc4

32771/udp open|filtered sometimes-rpc6

32772/udp open|filtered sometimes-rpc8

32773/udp open|filtered sometimes-rpc10

32774/udp open|filtered sometimes-rpc12

34555/udp open|filtered unknown

37444/udp open|filtered unknown

54321/udp open|filtered bo2k

Nmap done: 1 IP address (1 host up) scanned in 4.24 seconds

J'host mon serveur chez moi, sur le réseau local. Je l'éteins donc jusqu'à nouvel ordre, en espérant que mon réseau ne soit pas infecté

PS : J'ai oublié de préciser que j'ai utilisé LetsEncrypt pour le https, mes autres logiciels de sécurité sont iptables et fail2ban, et je suis sous Debian Stretch.

Dernière modification par d4v3 (05-01-2019 09:51:33)

smolski · 31-12-2018 13:30:08

d4v3 a écrit :

je suis sous Debian Stretch.

Le mieux est de mettre les indications dans ton profil.
Voir le tuto :
Afin de nous permettre de vous communiquer les meilleurs réponses, ou d'entendre au mieux tes interventions, il est bon de renseigner de manière permanente sous ton avatar ou ton pseudo la configuration du (des) PC que tu utilises.
Voir le tuto : Trop cool d'indiquer son installation dans son profil !

d4v3 · 31-12-2018 14:40:53

smolski a écrit :

Le mieux est de mettre les indications dans ton profil.

Ca y est je commence à avoir un vrai profil, merci !

Dernière modification par d4v3 (31-12-2018 14:48:19)

Beta-Pictoris · 31-12-2018 17:05:14

Que donne ?

netstat -lpn

lsof -i

Tu devrais lancer un nmap distant et non pas en localhost.

Dernière modification par Beta-Pictoris (31-12-2018 17:08:38)

d4v3 · 31-12-2018 18:09:23

Merci,

Pour la commande:

netstat -lpn

Connexions Internet actives (seulement serveurs)

Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name    

tcp        0      0 0.0.0.0:32774           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:31337           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      765/mysqld          

tcp        0      0 0.0.0.0:6667            0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:11              0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:5742            0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:79              0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:15              0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:54320           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:2000            0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:27665           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:1234            0.0.0.0:*               LISTEN      581/sshd            

tcp        0      0 0.0.0.0:1524            0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:119             0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:1080            0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:12345           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:12346           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:635             0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:49724           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:540             0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:1               0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:20034           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:32771           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:32772           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:40421           0.0.0.0:*               LISTEN      509/portsentry      

tcp        0      0 0.0.0.0:32773           0.0.0.0:*               LISTEN      509/portsentry      

tcp6       0      0 :::80                   :::*                    LISTEN      601/apache2         

tcp6       0      0 :::1234                 :::*                    LISTEN      581/sshd            

tcp6       0      0 :::443                  :::*                    LISTEN      601/apache2         

udp        0      0 0.0.0.0:31335           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:31337           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:1               0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:32770           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:32771           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:32772           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:32773           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:32774           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:7               0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:9               0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:68              0.0.0.0:*                           865/dhclient        

udp        0      0 0.0.0.0:69              0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:161             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:162             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:513             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:37444           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:635             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:640             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:641             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:700             0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:54321           0.0.0.0:*                           513/portsentry      

udp        0      0 0.0.0.0:34555           0.0.0.0:*                           513/portsentry      

Sockets du domaine UNIX actives(seulement serveurs)

Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Chemin

unix  2      [ ACC ]     STREAM     LISTENING     19517    934/ssh-agent        /tmp/ssh-OGWrOhtTI4hZ/agent.904

unix  2      [ ACC ]     STREAM     LISTENING     16210    597/Xorg             /tmp/.X11-unix/X0

unix  2      [ ACC ]     STREAM     LISTENING     19277    944/xfce4-session    /tmp/.ICE-unix/944

unix  2      [ ACC ]     STREAM     LISTENING     20496    899/systemd          /run/user/0/systemd/private

unix  2      [ ACC ]     STREAM     LISTENING     20501    899/systemd          /run/user/0/bus

unix  2      [ ACC ]     STREAM     LISTENING     20503    899/systemd          /run/user/0/gnupg/S.gpg-agent.browser

unix  2      [ ACC ]     STREAM     LISTENING     20506    899/systemd          /run/user/0/gnupg/S.gpg-agent

unix  2      [ ACC ]     STREAM     LISTENING     20508    899/systemd          /run/user/0/gnupg/S.gpg-agent.ssh

unix  2      [ ACC ]     STREAM     LISTENING     18429    1016/dbus-daemon     @/tmp/dbus-dLpYTLTGTG

unix  2      [ ACC ]     STREAM     LISTENING     20510    899/systemd          /run/user/0/gnupg/S.gpg-agent.extra

unix  2      [ ACC ]     STREAM     LISTENING     16209    597/Xorg             @/tmp/.X11-unix/X0

unix  2      [ ACC ]     STREAM     LISTENING     16947    799/systemd          /run/user/114/systemd/private

unix  2      [ ACC ]     STREAM     LISTENING     16952    799/systemd          /run/user/114/bus

unix  2      [ ACC ]     STREAM     LISTENING     14137    1/init               /var/run/dbus/system_bus_socket

unix  2      [ ACC ]     STREAM     LISTENING     16954    799/systemd          /run/user/114/gnupg/S.gpg-agent.extra

unix  2      [ ACC ]     STREAM     LISTENING     16957    799/systemd          /run/user/114/gnupg/S.gpg-agent.ssh

unix  2      [ ACC ]     STREAM     LISTENING     16959    799/systemd          /run/user/114/gnupg/S.gpg-agent

unix  2      [ ACC ]     STREAM     LISTENING     16961    799/systemd          /run/user/114/gnupg/S.gpg-agent.browser

unix  2      [ ACC ]     STREAM     LISTENING     19276    944/xfce4-session    @/tmp/.ICE-unix/944

unix  2      [ ACC ]     STREAM     LISTENING     16715    636/python3          /var/run/fail2ban/fail2ban.sock

unix  2      [ ACC ]     STREAM     LISTENING     15463    498/saslauthd        /var/run/saslauthd/mux

unix  2      [ ACC ]     STREAM     LISTENING     18610    765/mysqld           /var/run/mysqld/mysqld.sock

unix  2      [ ACC ]     STREAM     LISTENING     1473     1/init               /run/systemd/private

unix  2      [ ACC ]     SEQPACKET  LISTENING     1478     1/init               /run/udev/control

unix  2      [ ACC ]     STREAM     LISTENING     1490     1/init               /run/lvm/lvmpolld.socket

unix  2      [ ACC ]     STREAM     LISTENING     1495     1/init               /run/lvm/lvmetad.socket

unix  2      [ ACC ]     STREAM     LISTENING     1503     1/init               /run/systemd/journal/stdout

unix  2      [ ACC ]     STREAM     LISTENING     1515     1/init               /run/systemd/fsck.progress

Pour la commande:

lsof -i

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

portsentr 509     root    0u  IPv4  15483      0t0  TCP *:tcpmux (LISTEN)

portsentr 509     root    1u  IPv4  15485      0t0  TCP *:systat (LISTEN)

portsentr 509     root    2u  IPv4  15487      0t0  TCP *:netstat (LISTEN)

portsentr 509     root    3u  IPv4  15489      0t0  TCP *:finger (LISTEN)

portsentr 509     root    4u  IPv4  15491      0t0  TCP *:sunrpc (LISTEN)

portsentr 509     root    5u  IPv4  15493      0t0  TCP *:nntp (LISTEN)

portsentr 509     root    6u  IPv4  15495      0t0  TCP *:imap2 (LISTEN)

portsentr 509     root    7u  IPv4  15497      0t0  TCP *:uucp (LISTEN)

portsentr 509     root    8u  IPv4  15499      0t0  TCP *:635 (LISTEN)

portsentr 509     root    9u  IPv4  15501      0t0  TCP *:socks (LISTEN)

portsentr 509     root   10u  IPv4  15503      0t0  TCP *:ingreslock (LISTEN)

portsentr 509     root   11u  IPv4  15505      0t0  TCP *:cisco-sccp (LISTEN)

portsentr 509     root   12u  IPv4  15507      0t0  TCP *:5742 (LISTEN)

portsentr 509     root   13u  IPv4  15509      0t0  TCP *:ircd (LISTEN)

portsentr 509     root   14u  IPv4  15511      0t0  TCP *:12345 (LISTEN)

portsentr 509     root   15u  IPv4  15513      0t0  TCP *:12346 (LISTEN)

portsentr 509     root   16u  IPv4  15515      0t0  TCP *:20034 (LISTEN)

portsentr 509     root   17u  IPv4  15517      0t0  TCP *:27665 (LISTEN)

portsentr 509     root   18u  IPv4  15519      0t0  TCP *:31337 (LISTEN)

portsentr 509     root   19u  IPv4  15521      0t0  TCP *:32771 (LISTEN)

portsentr 509     root   20u  IPv4  15523      0t0  TCP *:32772 (LISTEN)

portsentr 509     root   21u  IPv4  15525      0t0  TCP *:32773 (LISTEN)

portsentr 509     root   22u  IPv4  15527      0t0  TCP *:32774 (LISTEN)

portsentr 509     root   23u  IPv4  15529      0t0  TCP *:40421 (LISTEN)

portsentr 509     root   24u  IPv4  15531      0t0  TCP *:49724 (LISTEN)

portsentr 509     root   25u  IPv4  15533      0t0  TCP *:54320 (LISTEN)

portsentr 513     root    0u  IPv4  11536      0t0  UDP *:1 

portsentr 513     root    1u  IPv4  11538      0t0  UDP *:echo 

portsentr 513     root    2u  IPv4  11540      0t0  UDP *:discard 

portsentr 513     root    3u  IPv4  11542      0t0  UDP *:tftp 

portsentr 513     root    4u  IPv4  11544      0t0  UDP *:snmp 

portsentr 513     root    5u  IPv4  11546      0t0  UDP *:snmp-trap 

portsentr 513     root    6u  IPv4  11548      0t0  UDP *:who 

portsentr 513     root    7u  IPv4  11550      0t0  UDP *:635 

portsentr 513     root    8u  IPv4  11552      0t0  UDP *:640 

portsentr 513     root    9u  IPv4  11554      0t0  UDP *:641 

portsentr 513     root   10u  IPv4  11556      0t0  UDP *:700 

portsentr 513     root   11u  IPv4  11558      0t0  UDP *:37444 

portsentr 513     root   12u  IPv4  11560      0t0  UDP *:34555 

portsentr 513     root   13u  IPv4  11562      0t0  UDP *:31335 

portsentr 513     root   14u  IPv4  11564      0t0  UDP *:32770 

portsentr 513     root   15u  IPv4  11566      0t0  UDP *:32771 

portsentr 513     root   16u  IPv4  11568      0t0  UDP *:32772 

portsentr 513     root   17u  IPv4  11570      0t0  UDP *:32773 

portsentr 513     root   18u  IPv4  11572      0t0  UDP *:32774 

portsentr 513     root   19u  IPv4  11574      0t0  UDP *:31337 

portsentr 513     root   20u  IPv4  11576      0t0  UDP *:54321 

sshd      581     root    3u  IPv4  12056      0t0  TCP *:1234 (LISTEN)

sshd      581     root    4u  IPv6  12058      0t0  TCP *:1234 (LISTEN)

apache2   601     root    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   601     root    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   604 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   604 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   606 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   606 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   608 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   608 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

mysqld    765    mysql   22u  IPv4  18609      0t0  TCP localhost:mysql (LISTEN)

dhclient  865     root    6u  IPv4  14677      0t0  UDP *:bootpc 

apache2   888 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   888 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   889 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   889 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   890 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   890 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   891 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   891 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   892 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   892 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   893 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   893 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

apache2   894 www-data    4u  IPv6  16174      0t0  TCP *:http (LISTEN)

apache2   894 www-data    6u  IPv6  16178      0t0  TCP *:https (LISTEN)

J'ai voulu essayer pour voir ce que ça fait, je retenterai depuis mon pc portable sur une autre wifi.

raleur · 31-12-2018 19:58:29

C'est donc portsentry qui ouvre tous ces ports en écoute.

d4v3 · 01-01-2019 17:03:39

Ah d'accord donc il n'y a pas de quoi s'inquiéter, mais pourquoi il renvoie ces noms bizarres ?

Beta-Pictoris · 01-01-2019 17:23:22

C'est nmap qui ne fait que donner des noms au ports.

Et Portsentry est, peut-être, configuré de manière très laxiste ? On attend un nmap lancé d'un poste distant pour voir la différence.

Dernière modification par Beta-Pictoris (01-01-2019 17:24:41)

d4v3 · 01-01-2019 23:19:06

D'accord merci ! C'est déjà rassurant alors, j'ai juste fait la petite modification du fichier de configuration comme proposé par openclassroom:

Commentez les lignes KILL_HOSTS_DENY.

Décommentez la ligne KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP".

Je serais en mesure d'effectuer ce scan jeudi, je reviendrais donc poster les résultats.

d4v3 · 04-01-2019 18:27:25

Bonjour,

Voici les résultats du scan effectué depuis l'extérieur:

NSE: Loaded 148 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 12:17

Completed NSE at 12:17, 0.00s elapsed

Initiating NSE at 12:17

Completed NSE at 12:17, 0.00s elapsed

Initiating Ping Scan at 12:17

Scanning xx.xx.xx.xx [4 ports]

Completed Ping Scan at 12:17, 0.05s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 12:17

Completed Parallel DNS resolution of 1 host. at 12:17, 0.13s elapsed

Initiating SYN Stealth Scan at 12:17

Scanning xxxx.xxx.xxx.wanadoo.fr (xxx.xxx.xxx.xxx) [1000 ports]

Discovered open port 443/tcp on xxx.xxx.xxx.xxx

Discovered open port 80/tcp on xxx.xxx.xxx.xxx

Discovered open port 1234/tcp on xxx.xxx.xxx.xxx

Completed SYN Stealth Scan at 12:17, 4.81s elapsed (1000 total ports)

Initiating UDP Scan at 12:17

Scanning xxxx.xxx.xxx.wanadoo.fr (xxx.xxx.xxx.xxx) [1000 ports]

Completed UDP Scan at 12:17, 4.03s elapsed (1000 total ports)

Initiating Service scan at 12:17

Scanning 1003 services on xxxx.xxx.xxx.wanadoo.fr (xxx.xxx.xxx.xxx)

Service scan Timing: About 0.40% done

Service scan Timing: About 3.39% done; ETC: 13:53 (1:32:38 remaining)

[...]

Service scan Timing: About 97.71% done; ETC: 13:12 (0:01:16 remaining)

Completed Service scan at 13:12, 3316.13s elapsed (1003 services on 1 host)

Initiating OS detection (try #1) against xxxx.xxx.xxx.wanadoo.fr (xxx.xxx.xxx.xxx)

Initiating Traceroute at 13:12

Completed Traceroute at 13:12, 3.02s elapsed

Initiating Parallel DNS resolution of 4 hosts. at 13:12

Completed Parallel DNS resolution of 4 hosts. at 13:12, 0.03s elapsed

NSE: Script scanning xxx.xxx.xxx.xxx.

Initiating NSE at 13:12

Completed NSE at 13:13, 63.46s elapsed

Initiating NSE at 13:13

Completed NSE at 13:14, 53.98s elapsed

Nmap scan report for xxxx.xxx.xxx.wanadoo.fr (xxx.xxx.xxx.xxx)

Host is up (0.018s latency).

Not shown: 1000 open|filtered ports, 996 filtered ports

PORT     STATE  SERVICE  VERSION

80/tcp   open   http     Apache httpd 2.4.25

|_http-server-header: Apache/2.4.25 (Debian)

|_http-title: 403 Forbidden

113/tcp  closed ident

443/tcp  open   ssl/http Apache httpd 2.4.25 ((Debian))

| http-cookie-flags: 

|   /: 

|     PHPSESSID: 

|_      httponly flag not set

| http-methods: 

|_  Supported Methods: GET HEAD POST OPTIONS

|_http-server-header: Apache/2.4.25 (Debian)

|_http-title: MON-SITE

| ssl-cert: Subject: commonName=mon-site.fr.fr

| Subject Alternative Name: DNS:mon-site.fr

| Issuer: commonName=Let's Encrypt Authority X3/organizationName=Let's Encrypt/countryName=US

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2018-12-29T17:09:13

| Not valid after:  2019-03-29T17:09:13

| MD5:   clé MD5

|_SHA-1: clé SHA-1

|_ssl-date: TLS randomness does not represent time

| tls-alpn: 

|   http/1.1

|   http/1.1

[...]

|   http/1.1

|_  http/1.1

1234/tcp open   ssh      OpenSSH 7.4p1 Debian 10+deb9u4 (protocol 2.0)

| ssh-hostkey: 

|   2048 clé (RSA)

|   256 clé (ECDSA)

|_  256 clé (ED25519)

Device type: general purpose

Running: Linux 3.X|4.X

OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4

OS details: Linux 3.11 - 4.1

Uptime guess: 0.106 days (since Thu Jan  3 10:42:07 2019)

Network Distance: 5 hops

TCP Sequence Prediction: Difficulty=261 (Good luck!)

IP ID Sequence Generation: All zeros

Service Info: Host: machine.home; OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 113/tcp)

HOP RTT      ADDRESS

1   81.25 ms box.home (192.168.1.1)

2   25.06 ms xxx.xxx.xxx.xxx

3   15.48 xxxx.xxx.francetelecom.net (xxx.xxx.xxx.xxx)

4   ...

5   22.15 ms xxxx.xxx.xx.wanadoo.fr (xxx.xxx.xxx.xxx)

NSE: Script Post-scanning.

Initiating NSE at 13:14

Completed NSE at 13:14, 0.00s elapsed

Initiating NSE at 13:14

Completed NSE at 13:14, 0.00s elapsed

Read data files from: /usr/bin/../share/nmap

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 3450.85 seconds

           Raw packets sent: 4056 (150.814KB) | Rcvd: 26 (1.264KB)

Je l'ai coupée mais la liste HTTP:/1.1 est très longue.
J'ai l'impression que le scan ne présente rien de particulier ? Peut-être y aurait-il quand même quelque chose à améliorer niveau sécurité ?

Dernière modification par d4v3 (04-01-2019 19:13:03)

Freemaster · 04-01-2019 21:11:31

donc du coup ton portsentry il sert à rien alors ?

le but de portsentry, c'est d'ouvrir des ports en écoute, et lorsqu'il y a une requête sur un port surveillé, il bloque l'ip
d'ailleurs le host deny est préférable à iptables, mais bon chacun son truc...
et donc sans aucun port surveillé, routé sur portsentry, tu le fais tourner pour rien !

raleur · 04-01-2019 21:31:55

Freemaster a écrit :

le host deny est préférable à iptables

Pourquoi ? Tous les services réseau n'utilisent pas forcément les TCP wrappers et hosts.deny.

Freemaster · 04-01-2019 21:51:19

oui c'est vrai, c'est sans doute pour ça que j'ai arrêté de l'utiliser portsentry il y a longtemps

d4v3 · 04-01-2019 23:07:58

Freemaster a écrit :

donc du coup ton portsentry il sert à rien alors ?

Apparemment, en plus je n'ai aucun blocage dans les logs, aucun signe de ce scan. Super !

Freemaster · 05-01-2019 09:48:09

je te conseillerais de mettre fail2ban à la place...
car comme tu peux voir, en changeant le port ssh, tu évites les bots, mais n'importe qui peut le trouver grâce à un scan
après si tu tiens à garder portsentry, il faut au moins router un port, comme le 79 par exemple

d4v3 · 05-01-2019 09:50:57

Freemaster a écrit :

je te conseillerais de mettre fail2ban à la place...
car comme tu peux voir, en changeant le port ssh, tu évites les bots, mais n'importe qui peut le trouver grâce à un scan
après si tu tiens à garder portsentry, il faut au moins router un port, comme le 79 par exemple

D'accord, merci ! J'ai déjà fail2ban d'installé donc ça devrait aller.

Debian-facile

#1 31-12-2018 04:05:45

[Résolu] Scan nmap avec des résultats inquiétants

#2 31-12-2018 13:30:08

Re : [Résolu] Scan nmap avec des résultats inquiétants

#3 31-12-2018 14:40:53

Re : [Résolu] Scan nmap avec des résultats inquiétants

#4 31-12-2018 17:05:14

Re : [Résolu] Scan nmap avec des résultats inquiétants

#5 31-12-2018 18:09:23

Re : [Résolu] Scan nmap avec des résultats inquiétants

#6 31-12-2018 19:58:29

Re : [Résolu] Scan nmap avec des résultats inquiétants

#7 01-01-2019 17:03:39

Re : [Résolu] Scan nmap avec des résultats inquiétants

#8 01-01-2019 17:23:22

Re : [Résolu] Scan nmap avec des résultats inquiétants

#9 01-01-2019 23:19:06

Re : [Résolu] Scan nmap avec des résultats inquiétants

#10 04-01-2019 18:27:25

Re : [Résolu] Scan nmap avec des résultats inquiétants

#11 04-01-2019 21:11:31

Re : [Résolu] Scan nmap avec des résultats inquiétants

#12 04-01-2019 21:31:55

Re : [Résolu] Scan nmap avec des résultats inquiétants

#13 04-01-2019 21:51:19

Re : [Résolu] Scan nmap avec des résultats inquiétants

#14 04-01-2019 23:07:58

Re : [Résolu] Scan nmap avec des résultats inquiétants

#15 05-01-2019 09:48:09

Re : [Résolu] Scan nmap avec des résultats inquiétants

#16 05-01-2019 09:50:57

Re : [Résolu] Scan nmap avec des résultats inquiétants

Pied de page des forums