[EMAIL PROTECTED] (Pierre Crescenzo) wrote: > Bonjour à tous, > > > Tu es sûr qu'il s'agit bien de Netbus ?!! > > Non. En fait, je ne suis sûr de rien. Tout ce que je sais, c'est que si > je fais un "nmap" à partir d'une machine extérieure vers la machine en > question, j'obtiens entre autres lignes : > 12345 filtered tcp NetBus > 12346 filtered tcp NetBus > > Les nmap, netstat... locaux ne repèrent rien.
D'après http://www.insecure.org/nmap/data/nmap_manpage.html : Filtered means that a firewall, filter, or other network obstacle is covering the port and preventing nmap from determining whether the port is open. > Je n'ai pas fakebo, ni portsentry, ni snort. Quels sont les autres > programmes qui pourraient être reconnus comme NetBus ? Nmap utilise le fichier nmap-services (/usr/share/nmap/nmap-services du paquetage Debian) NetBus 12345/tcp # NetBus backdoor trojan or Trend Micro Office Scan donc n'importe quel programme qui utilise le port 12345/tcp > > Un "netstat -taupe" (en tant que root) devrait te permettre de voir > > quel est le programme qui utilise le port qui te semble suspect, et si > > une connection est active ou non. > > "netstat -taupe" ne signale rien qui s'appelle NetBus et rien sur les > ports 12345 et 12346. Comme je le disais au début, les outils locaux ne > repèrent rien. J'en déduis que les ports 12345 et 12346 ne sont pas ouverts ... Quelle est la réponse de `telnet machine 12345` depuis la machine qui lance le nmap ?
