d’ailleur si vous voulez tester votre environement avec un livecd y’a une distrib faite pour scanner et trouver les malware
REMnux: A Linux Distribution for Reverse-Engineering Malware
[quote]REMnux is a lightweight Linux distribution for assisting malware analysts in reverse-engineering malicious software. The distribution is based on Ubuntu and is maintained by Lenny Zeltser.
[/quote]
non au début tu as écrit:
je pensais pouvoir apprendre des trucs, mais comme tout ce que tu racontes n’a aucun sens, je crois que c’est compromis.
bonne soirée.
nykoos, je t’invites a te rendre sur le wiki ou dans l’espace des trucs et astuces du forum pour apprendre a te servir de netfilter (via iptables), avec lequel tu pourras fermer tes ports correctement.
le petit traffic d’1Ko que tu a vu, c’etait juste une réponse polie de ton ordi à l’ordi qui toquait à la porte pour savoir ce qu’il y avait a partager sur ton ordi. par défaut il me semble que transmission se mets en seed. si tu n’avais aucun fichier, l’ordi en face demande " t’as le bout numéro x du fichier bidule?" et ne tiens reponds poliment: ‘nan je l’ai pas’ c’est probablement ça le traffic que tu as vu.
Anthropo, mon parefeu est déjà opérationnel, et je peux tout bloquer si je le désires, pour jouer le jeux, j’avais fait une redirection de port sur les firewall de 2 routeurs en série, il suffit que je désactive et bye le ‘ptit russe et compagnie’, et ce qu’il faut savoir, un port ne peux être ouvert que de l’intérieur donc si il y a échanges de paquet, il faut impérativement que cela soit à l’initiative d’une instance de la machine, car si aucun programme d’ exécuté, pas possible de communiquer et heureusement, parefeu ou pas parefeu, tu es bien d’accord ?
donc si aucun client torrent n’est lancé, l’échange est impossible
sauf sauf si malware déjà installé.
En fait que fait le scan du pirate
-1 détecter si un port ouvert
-2 si oui, vérifier si un programme malware installé et le contrôler (mode serveur-client)
donc si ma machine a communiqué sans aucun programme de lancé, je peux me posé la question non ? Ainsi Grhim a tout à fait raison d’envisager cette hypothèse.
J’ai lu aussi des infos sur les scans du port 1250, et dans les pays de l’est, ils sont très doués pour cela, mais c’est vrai qu’ils sévissent plutôt sur des systèmes beaucoup plus facile et vulnérable comme sur Windows du grand public.
De toute façon si c’est le cas, ils ne m’ont rien pompé après analyse, simple tentative, merci la solidité Linux.
quote="nykoos"
un port ne peux être ouvert que de l’intérieur donc si il y a échanges de paquet, il faut impérativement que cela soit à l’initiative d’une instance de la machine, car si aucun programme d’ exécuté, pas possible de communiquer et heureusement, parefeu ou pas parefeu, tu es bien d’accord ?
(…)[/quote]Non. Tu confonds réponse et écoute. Cf. Post de fran.: si drop -> aucune réponse, si reject -> réponse “je ne veux pas te répondre”, et ce, indépendament du fait qu’il y ai écoute ou pas sur le port.
mattotop a répondu à ma place.
voici un lien qui t’aidera a comprendre un peu plus:
chiark.greenend.org.uk/~pete … -vs-reject
[quote]
Many people advocate configuring packet filters with a mostly-closed policies that drop packets that they do not know to be safe. This leads to problems for users that are hard for them to diagnose while offering no additional security.
When a packet reaches the firewall, it is run against a set of rules. These rules may rely on existing state (eg. to match existing or related connections) or be stateless (eg. to match destination port 80). The rules determine an action to take for the packet, which can be one of:
ALLOW (aka ACCEPT)
Pemit a packet to traverse the firewall. This would be the behaviour if the firewall was not present.
REJECT
Prohibit a packet from passing. Send an ICMP destination-unreachable back to the source host [unless the icmp would not normally be permitted, eg. if it is to/from the broadcast address].
DROP (aka DENY, BLACKHOLE)
Prohibit a packet from passing. Send no response. [/quote]
@mattotop@Anthropo
merci de rappeler les bases et fondamentaux, je me contentais simplement de vérifier si port ouvert ou fermé, mais ben justement, j’ai des règles iptables sur ma machine, connexions rentrantes: drop sauf celles déjà établies
et tout autorisé en connexions sortantes.
@fran.b
Pour que le phénomène se produise, il faut que j’ai ouvert au moins une fois transmission donc je dois en conclure que la fermeture de celui ci met en reject et non en drop d’ou la continuation des échanges de paquets.
merci à vous tous de vos réponses