Bon, ben je vais y aller de mes commentaires alors, c’est plutôt pour demander des précisions… Je résume le contexte actuel qui me fait replonger dans ce fil :
[quote=“avision”]… J’ai bien passé 1/2h dans mes logs l’autre jour… c’était la 1er fois que j’allais voir la dedans[/quote]Voilà moi aussi et je vois ça :
Sep 27 15:01:36 localhost psad: scan detected: 221.2.73.51 -> 192.168.x.x tcp=[3128] SYN tcp=1 udp=0 icmp=0 dangerlevel: 2
Ayant lu [quote=“http://abuse.numericable.fr/?MENUID=4&Langue=”]Le Port Scan peut avoir des usages légitimes, comme dans le cas de maintenance réseau, mais il peut aussi être de nature malicieuse si quelqu’un est à la recherche de failles sur votre ordinateur. Le Scan Port n’est pas en crime en soit. Il n’existe pas de façon d’empêcher quelqu’un de le faire, car la communication Internet est ainsi conçu. Il existe par contre des logiciels qui peuvent arrêter un Port Scanner de faire des dommages à votre système.[/quote]Je me dis que c’est peut-etre pas dramatique, mais je cherche des logiciels qui peuvent arrêter un Port ScannerJe tombe sur différent posts, dont un qui m’interesse : [quote=“http://linuxfr.org/~TImaniac/11888.html”]Enfin abuse c’est bien, mais vaut mieux ne l’utiliser que pour les choses importantes. Les scans barbare vaut mieux les ignorer* ou regarder la machine en face et lui faire comprendre qu’il faudrait arreter de jouer (25 ouvert par exemple).[/quote]Et effectivement, je préfère cette solution à un rapport à abuse, mais là, je cherche toujours les logiciels en question …
Quels sont les logiciels qui permettent de stopper un Port Scanner (avec un bon pti lien si possible pour apprendre à s’en servir
) ?
Comment envoyer un message carrément à la machine qui scanne pour lui dire que ça va c’est bon ?
Comme je relis le fil en entier (un minimum), je résume ce que j’en retiens et ce que je dois tester :
[quote=“fran.b”]1) cacheproc qui affiche cherche les processus cachés et affiche les renseignements relatifs aux processus cachés trouvés (ligne de commande, répertoire, etc). Je l’avais développé après avoir constaté que checkrootkit ne remplissait pas son office et ne signalait pas des processus cachés existants (J’ai une une intrusion chez moi il y a 3 ans et checkrootkit n’a rien signalé et n’a pas détecté le rootkit SuckIT installé y compris lorsque je le lançais explicitement dans cette recherche (je meuis aperçu de l’intruision 6 heures après en gros).
- surveillance qui compare les md5sums d’une liste de fichiers (par défaut ceux de /bin /sbin, /usr/bin, /usr/sbin, /etc/init.d et /etc/rcS.d) avec une liste de référence construite au moment de l’installation. Il peut être mis sur CD ainsi que la liste ce qui assure l’impossibilité de le «gruger» (il est compilé en statique et j’ai refais un md5sums ce qui fait qu’il est indépendant de la librairie contenant les fonctions md5sums).
Lancé régulièrement par cron, je suis prévenu de la modification d’un fichier (on s’aperçoit que ça arrive spontanément de temps à autre) par mail.[/quote]Au fait, on est prévenu par mail qu’au boot ou au login en console ?
Est-ce qu’il n’y a pas moyen d’etre prévenu par une pop-up, une fenetre d’alerte ?
Donc je peux installer cacheproc mis aimablement à disposition par fran.b, et chkrootkit, et comme fran.b tu signales que ce dernier n’est pas suffisant et que je lis :
[quote=“apt-cache show rkhunter”]Rootkit Hunter scans your system for known and unknown rootkits,
backdoors, sniffers and exploits.
.
Some of the tests it does:
- MD5 hash compare
- Look for default files used by rootkits
- Wrong file permissions for binaries
- Look for suspected strings in LKM and KLD modules
- Look for hidden files
- Optional scan within plaintext and binary files
.
Please note that rkhunter does not guarantee your system has
not been compromised! You should also run additional tests, e.g. using
chkrootkit and other measures.[/quote], on dira que les deux sont assez complémentaires …
Est-ce que le vérification de modification de fichiers dont tu parles fran.b est ce dont se charge rkhunter : - MD5 hash compare ?
[quote=“MattOTop”]Sur les chasseur de rootkit, AMA, plus y en a mieux c’est [/quote]Ok, il est temps de faire un pti résumé là, sinon je suis parti pour une page entière rien que pour ce post lol :
- rkhunter + chkrootkit pour les rootkit
- cacheproc + à voir pour le 2/ de fran.b
- psad pour les ports scanner
- logcheck pour l’analyse des logs
C’est ce que je vais installer (sauf psad et logcheck, c’est déjà le cas)
C’est cohérent, qu’est ce qu’il manque d’important ?