J'ai une clarkconnect 3.2 en mode passerelle toute neuve qui tourne depuis 1 semaine.
Elle remplace un précédent serveur qui etait aussi sous CC mais une vieille version.
En plus des services proposés par CC, j'ai ajouté un serveur usenet (leafnode), un ircd (Unreal), les services (epona), Neostats et un serveur jabber (ejabberd)
Ce soir, par curiosité, j'ai téléchargé chkrootkit depuis le site officiel, et, tout comme ils disent dans la doc, j'ai "make sense" et ./chkrootkit
Et là, horreur, malheur, oh désespoir !
à la fin du rapport :
- Code: Tout sélectionner
Checking `bindshell'... INFECTED (PORTS: 4369 31337)
Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/dnsmasq, /usr/sbin/snort)
eth1: PF_PACKET(/usr/sbin/dnsmasq, /sbin/dhclient)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
quand je lance un
- Code: Tout sélectionner
netstat -a | grep 4369
j'obtiens bien ceci :
- Code: Tout sélectionner
[root@albedo ~]# netstat -a | grep 4369
tcp 0 0 *:4369 *:* LISTEN
tcp 0 0 localhost.localdomain:4369 localhost.localdomain:58183 ESTABLISHED
tcp 0 0 localhost.localdomain:58183 localhost.localdomain:4369 ESTABLISHED
Et idem pour 31337 :
- Code: Tout sélectionner
[root@albedo ~]# netstat -a | grep 31337
tcp 0 0 *:31337 *:* LISTEN
Que dois-je penser de tout ceci ?
J'ai l'intention d'arreter le serveur, de passer en init 1 afin de relancer un chkrootkit alors que tous les services seront stoppés, est-ce une bonne idée ?
Je précise que dans la configuration du firewall, ces ports ne sont pas ouverts (ou du moins, ils n'apparaissent pas dans la liste des services ouverts.
Merci de vos conseils avisés
Pierre
