Discussion :

[§Gama§]

Bonjour,
j'aimerais vous soumettre quelque chose qui me dérange depuis quelques jours:

d'une part j'ai ceci en tapant un netstat sous ubuntu:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
    $ sudo netstat -lntup | awk '{print $6 $7}'|sed 's/LISTEN//'| cut -d"/" -f2|sort|uniq|grep -v Foreign
    adb
    Adressedistante
    avahi-daemon:r
    cups-browsed
    cupsd
    dhclient
    dnsmasq
    java
    nmbd

et je ne comprends pas à quoi correspond 'Adressedistante'... est ce un label de colonne mal trié? car le service n'existe pas quand je fais un sudo service Adressedistante stop...


Autrechose, j'ai découvert en faisant un chkrootkit que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
    Searching for Suckit rootkit...                             
Warning: /sbin/init INFECTED
    Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
    wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1357], /sbin/dhclient[10443])

à priori, en zieutant ailleurs, j'ai découvert que cette apparation de Suckit rootkit dans chkrootkit était un bug?
Ce qui est bizarre également c'est que wpa_supplicant et dhclient soit considérés comme dangereux?

et j'ai également ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
    Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
    /usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/java-8-oracle/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-8-oracle/lib/visualvm/profiler/.lastModified /usr/lib/jvm/java-8-oracle/lib/visualvm/platform/.lastModified /usr/lib/jvm/java-8-oracle/lib/missioncontrol/.eclipseproduct /usr/lib/jvm/java-8-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/java-8-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.lock /usr/lib/jvm/java-8-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-8-oracle.jinfo
    /usr/lib/jvm/java-8-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/java-8-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data

voilà,
merci d'avance pour votre avis sur chkrootkit et surtout sur Adressedistante.

[Escapetiger]

Bonjour,
j'aimerais vous soumettre quelque chose qui me dérange depuis quelques jours:

d'une part j'ai ceci en tapant un netstat sous ubuntu:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
    $ sudo netstat -lntup | awk '{print $6 $7}'|sed 's/LISTEN//'| cut -d"/" -f2|sort|uniq|grep -v Foreign
    adb
    Adressedistante
    avahi-daemon:r
    cups-browsed
    cupsd
    dhclient
    dnsmasq
    java
    nmbd

et je ne comprends pas à quoi correspond 'Adressedistante'... est ce un label de colonne mal trié? car le service n'existe pas quand je fais un sudo service Adressedistante stop...

Bonjour,

Pas d'Unbuntu ici mais il y a fort à parier que Adressedistante soit le titre de colonne du champ $6 ou $7 de ton awk.
tu peux vérifier par exemple par netstat -lntup | head.

Après, il est étonnant d'avoir Foreign et Adressedistante en même temps, quelles sont les variables concernant le langage de ta distribution ?

[§Gama§]

Hello, merci pour ta réponse...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
O@O:~$ sudo netstat -lntup | head
[sudo] password for r: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:5037          0.0.0.0:*               LISTEN      18991/adb       
tcp        0      0 127.0.0.1:63342         0.0.0.0:*               LISTEN      18660/java      
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      1476/dnsmasq    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      11538/cupsd     
tcp        0      0 127.0.0.1:8700          0.0.0.0:*               LISTEN      18660/java      
tcp        0      0 127.0.0.1:6942          0.0.0.0:*               LISTEN      18660/java      
tcp6       0      0 ::1:631                 :::*                    LISTEN      11538/cupsd     
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1141/cups-browsed

c'est quand meme etonnant que java soit en mode LISTEN sur le 18660

Pour les locales:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
O@O:~$ locale
LANG=fr_FR.UTF-8
LANGUAGE=fr_FR
LC_CTYPE="fr_FR.UTF-8"
LC_NUMERIC="fr_FR.UTF-8"
LC_TIME="fr_FR.UTF-8"
LC_COLLATE="fr_FR.UTF-8"
LC_MONETARY="fr_FR.UTF-8"
LC_MESSAGES="fr_FR.UTF-8"
LC_PAPER="fr_FR.UTF-8"
LC_NAME="fr_FR.UTF-8"
LC_ADDRESS="fr_FR.UTF-8"
LC_TELEPHONE="fr_FR.UTF-8"
LC_MEASUREMENT="fr_FR.UTF-8"
LC_IDENTIFICATION="fr_FR.UTF-8"
LC_ALL=

C'est vrai c'est bizarre pour foreign.

[Escapetiger]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
O@O:~$ sudo netstat -lntup | head
[sudo] password for r: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:5037          0.0.0.0:*               LISTEN      18991/adb       
tcp        0      0 127.0.0.1:63342         0.0.0.0:*               LISTEN      18660/java      
(....)

Adresse et distante sont deux champs distincts renvoyés par awk (cf. ci-après) dont le séparateur par défaut est l'espace.

C'est vrai c'est bizarre pour foreign.

Je n'avais pas lu la ligne de code jusqu'au bout, le Foreign vient probablement du grep -v Foreign en fin de ligne.
Je n'arrive pas de suite à l'expliquer ni à le reproduire, shell différent ici, probablement parce qu'il vaut mieux mettre des espaces entre les pipe | :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ sudo netstat -lntup | awk '{print $6 $7}' | sed 's/LISTEN//' | cut -d"/" -f2 | sort | uniq

[Flodelarab]

Bonjour,

• Effectivement, la commande awk considère des lignes qu'elle devrait rejeter. Voici la correction à apporter à l'étage awk:
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  awk '(NR>2){print $6 $7}'

• Foreign n'apparait pas dans le résultat. Juste dans la commande. Le grep semble inutile.
• D'ailleurs, il est étonnant de récupérer la colonne 6 (LISTEN) pour la supprimer par la suite ...
• Vu le point de départ et le résultat attendu, pourquoi ne pas faire un simple sudo netstat -lntup |sed '1,2d;s@.*/@@' ?

[§Gama§]

merci!