,
Cet article est juste une réédition d’une brève :
Voici un petit script qui permet de connaître les programmes qui écoutent sur les ports TCP et UDP de votre machine.
fichier listen.sh :
#!/bin/bash
#
# affiche la liste des programmes qui écoutent sur les ports TCP et UDP
# 13/05/2006
lsof -i | grep LISTEN
Changer les droits pour rendre exécutable :
chmod 755 listen.sh
Puis executer en tant que root :
[root@villou ~]# ./listen.sh
cupsd 2283 root 2u IPv4 9293 TCP *:ipp (LISTEN)
X 2670 root 1u IPv6 7683 TCP *:x11 (LISTEN)
X 2670 root 3u IPv4 7684 TCP *:x11 (LISTEN)
miniserv. 2845 root 5u IPv4 8005 TCP *:10000 (LISTEN)
smbd 2871 root 21u IPv4 8102 TCP *:microsoft-ds (LISTEN)
smbd 2871 root 22u IPv4 8103 TCP *:netbios-ssn (LISTEN)
named 3610 named 21u IPv4 11113 TCP villou:domain (LISTEN)
named 3610 named 23u IPv4 11115 TCP 172.16.130.1:domain (LISTEN)
named 3610 named 25u IPv4 11117 TCP 192.168.50.1:domain (LISTEN)
named 3610 named 28u IPv4 11120 TCP villou:rndc (LISTEN)
httpd 3975 root 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3985 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3986 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3987 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3988 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3989 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3990 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3991 apache 3u IPv4 11982 TCP *:http (LISTEN)
httpd 3992 apache 3u IPv4 11982 TCP *:http (LISTEN)
Nous constatons, dans notre exemple, que les programmes suivants écoutent les ports :
serveur de nom (named) sur 53 (domain)
serveur web (apache) sur 80 (http)
serveur d’impression (cups) sur 631 (ipp)
serveur graphique (Xorg)
webmin (minserv) sur le port 10000
serveur de fichiers (samba) sur les ports 445 (microsoft-ds) et 139 (netbios-ssn)
Normalement, si vous avez un PC orienté bureautique, vous devriez plutôt avoir quelque chose du genre :
[root@villou ~]# ./listen.sh
cupsd 2283 root 2u IPv4 9293 TCP *:ipp (LISTEN)
X 2670 root 1u IPv6 7683 TCP *:x11 (LISTEN)
X 2670 root 3u IPv4 7684 TCP *:x11 (LISTEN)
La commande suivante devrait vous afficher un résultat équivalent :
netstat --l
On pourrait également utiliser nmap (http://fr.wikipedia.org/wiki/Nmap)
avec un scan de ports :
[root@villou villou]# nmap -p 1-65535 127.0.0.1
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-07-23 19:45 CEST
Interesting ports on villou (127.0.0.1):
(The 65532 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
631/tcp open ipp
6000/tcp open X11
10000/tcp open unknown
Nmap finished: 1 IP address (1 host up) scanned in 9.277 seconds
Si vous désirez connaître le nom du service associé à un numéro de port, les services connus sont listés sur /etc/services
Donc, maintenant vous pouvez facilement vérifier si une porte dérobée est installée sur votre machine.
Si vous avez des commentaires ou vous constatez des omissions, n’hésitez pas à me contacter.
14/09/2006
