ButterflyOfFire Posté(e) le 30 mars 2010 Share Posté(e) le 30 mars 2010 Bonjour, Ayant reçu au préalable un mail de monitoring me signalant une probable infection sur mon serveur dédié. J'ai lancé chkrootkit qui m'annonce : 'bindshell'... INFECTED (PORTS: 465)Bon, le port 465 c'est un port utilisé par mon serveur mail Postfix (s.m.t.p.s.). Lorsque je procède à son arrêt : /etc/init.d/postfix stop Pour je relance chkrootkit, le problème disparait mais lorsque je relance Postfix, le problème réapparait. Puis je lance : lsof -P -n -i | grep 465 J'ai ce résultat : master 23965 root 113u IPv4 3705069 TCP *:465 (LISTEN) Je me suis dis, ce n'est peut être qu'un faux positif ? Qu'en pensez-vous ? Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 30 mars 2010 Share Posté(e) le 30 mars 2010 Faux positif :-) Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chevrosky Posté(e) le 30 mars 2010 Share Posté(e) le 30 mars 2010 Faux positif :-) +1 lsof -n | grep sm*** * /usr/share/doc/chkrootkit/README.FALSE-POSITIVES h**p://i39.tinypic.com/vr67ac.png Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chevrosky Posté(e) le 11 avril 2010 Share Posté(e) le 11 avril 2010 AIDE: Advanced Intrusion Detection Environment ; un excellent IDS. http://sourceforge.net/projects/aide/ http://www.debuntu.org/intrusion-detection-with-aide Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.