On Thu, Jun 03, 2004 at 04:10:43PM +0200, Nickolay Kolev wrote: > Здравйте, > > Проверих си машината с нмап и гледам, че порт 905/tcp е отворен... > Никъде нищо не пише за тоя порт, обаче намерих 2 други обезпокоителни > страници... > > http://securityresponse.symantec.com/avcenter/venc/data/ > backdoor.netdevil.b.html > > и > > http://hq.mcafeeasap.com/dispVirus.asp?virus_k=100721 > > Първото съобщение не ме притеснява, второто е по-обезпокоително. Файл с > името руутд не можах да намеря по системата, ама то не е гаранция, че > не са го прекръстили някак иначе... > > Как да проверя кой слуша на порт 905?
Ако това е Linux и имаш fuser (може да се е скрило в /usr/sbin примерно), един от по-лесните начини е 'fuser -n tcp 905' - това трябва да ти покаже process ID's. Ако искаш малко повече информация, 'fuser -n tcp -v 905' ще ти покаже и имената на процесите. Ако си пък от хитрите хора, които са си инсталирали и lsof, тогава съвсем лесно: 'lsof -n -i tcp:22' ще ти каже дори малко повече неща и от fuser :) Сложното става, когато netstat примерно покаже, че нещо слуша на порт 905, а нито fuser, нито lsof покажат какво. Това значи, че някой е седнал и е написал kernel module, който се занимава с това... а там вече, ако lsmod не показва нищо подозрително, кофти - сблъскал си се с rootkit (или просто умен attacker), достатъчно умен, за да използва kernel modules и да не ти дава много начини да ги махнеш... Ако се е стигнало дотам, не си много далеч от стъпката 'backup на всички данни - и само данните - и преинсталиране' :( Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 "yields falsehood, when appended to its quotation." yields falsehood, when appended to its quotation.
pgpGonSrbAaZE.pgp
Description: PGP signature
