[Linux] Ordi compromis (rootkit inside) (was : modem-routeur en fin de vie ?) ?

[François DREYFÜRST]

Le 14/09/2013 09:19, François DREYFÜRST a écrit :
> Le 12/09/2013 12:20, Kevin Hagner a écrit :
>> Si tu penses que t'as un rootkit sur ton ordi, tu peux toujours
>> installer wireshark et scruter le moindre de tes paquets sortant jusqu'à
>> ce que tu trouves quelque chose de probant. ^^
>>
>> Si non plus simplement, tu peux aussi lancer la commande `netstat
>> -atepn` en root. Celle-ci te listera tous les programmes ayant un socket
>> d'ouvert sur le PC, donc ton potentiel rootkit devrait être de la
>> partie. ;-)
>>
>
> Bonjour à tous
>
> Voici ce que ça donne, sachant qu'à ce moment-là je n'avais que mon 
> client mail ouvert :
>
> netstat -atepn
> Connexions Internet actives (serveurs et établies)
> Proto Recv-Q Send-Q Adresse locale          Adresse distante        
> Etat        User       Inode       PID/Program name
> tcp        0      0 0.0.0.0:111             0.0.0.0:*               
> LISTEN      0          5205        1383/portmap
> tcp        0      0 0.0.0.0:48787           0.0.0.0:*               
> LISTEN      102        5242        1395/rpc.statd
> tcp        0      0 127.0.0.1:631           0.0.0.0:*               
> LISTEN      0          10443       1865/cupsd
> tcp        0      0 127.0.0.1:25            0.0.0.0:*               
> LISTEN      0          6731        2137/exim4
> tcp6       0      0 ::1:631                 :::*                    
> LISTEN      0          10442       1865/cupsd
>
> Bon, ça semble normal, ou bien ?
> FD
Bonjour à tous

Je complète en signalant qu'à tout hasard, j'ai branché le câble réseau 
reliant mon modem-routeur sur un autre port de ce dernier ... sans effet 
mesurable.

Je vais, j'espère d'ici la fin de la journée, pouvoir comparer un

$ traceroute www.dell.us

entre mon ordi personnel (celui qui pose problème) et celui de mon père, 
et vous tiendrai au courant.

FD, qui finit par ne plus trop savoir à quel saint se vouer ...