kreclaimd-ul e sigur ce ti-am zis mai devreme.eventd-ul,avand in vedere
ca-i primul proces pornit de init,nu prea cred ca e trojan...oricum,poti
sa pui un tcpdump sau un sniffer pe portu respectiv si sa vezi exact ce
trafic face.
solutia pe care-o vad io e o recompilare a kernelului,cu mare atentie
la tot ce pui in el (adica stai pe un task cu 'make menuconfig' si pe
alalalt cu /usr/src/linux/Documentation/). dc mai iti apare eventd-u si
dupa aia,mai dai un mesaj pe lista ;)
--
Octavian Popescu
http://hideout.art.ro
On Tue, 19 Dec 2000 [EMAIL PROTECTED] wrote:
> eu nu am ncftpd ...
> am doar un proftpd ... si atunci cine asculta pe portul 729 ?
> nu am gasit nimic prin /usr/src/linux/Documentation despre kreclaimd, si
> nici despre eventd...
>
> si faza misto e ca am dat pentru moment DROP la pachetele care vin pe 729
> si pleaca pe portul asta ... si dupa un reboot s-a mutat pe alt port :)
>
> misto, nu ?
>
> so, a mai intalnit careva faza asta ?
>
>
> On Tue, 19 Dec 2000, Octavian Popescu wrote:
>
> > kreclaimd-ul e ceva legat parca de swap,numai la kernelele 2.4.x.da si
> > tu un 'grep kreclaimd /usr/src/linux/Documentation/*' si vezi ce gaseste.
> > eventd-ul (tot parca) era un daemon din distributia ncftpd-ului
> > (serverul) asa ca vezi prin .conf-urile lui (dc ai asa ceva).
> > bafta! ;)
> >
> > --
> > Octavian Popescu
> > http://hideout.art.ro
> >
> > On Tue, 19 Dec 2000 [EMAIL PROTECTED] wrote:
> >
> > > slackware 7.0 cu kernel 2.4.0-test11
> > >
> > > On Tue, 19 Dec 2000, Octavian Popescu wrote:
> > >
> > > > distributie/versiune/kernel (2.4.x ?)
> > > >
> > > > --
> > > > Octavian Popescu
> > > > http://hideout.art.ro
> > > >
> > > > On Sun, 17 Dec 2000 [EMAIL PROTECTED] wrote:
> > > >
> > > > > de ceva timp, imi apare cand dau pstree urmatoarele procese: eventd si
> > > > > kreclaimd.
> > > > > le-am cautat pe hard da nu am dat de nici un executabil cu numele astora.
> > > > > eventd are pid 2, iar kreclaimd are 4.
> > > > > daca dau killall -9 eventd isi revine la loc, cu acelasi pid ca si cum
> > > > > nimic nu s-ar fi intamplat
> > > > > eventd asculta pe un port 729, pr care nmap l-a identificat fiind
> > > > > netviewdm1 (IBM NetView DM/6000 Server/Client). si stiu sigur ca nu am asa
> > > > > ceva pus sa ruleze pe calculator.
> > > > >
> > > > > are careva idee ce inseamna asta ? sau macar cum sa omor procesele astea
> > > > > doua ?
> > > > >
> > > > >
> > > > > Eugen.
> > > > >
> > > > >
> > > > >
> > > > > ---
> > > > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> > > > > unsubscribe from this list.
> > > > >
> > > >
> > > >
> > > > ---
> > > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> > > > unsubscribe from this list.
> > > >
> > >
> > >
> > > ---
> > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> > > unsubscribe from this list.
> > >
> >
> >
> > ---
> > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> > unsubscribe from this list.
> >
>
>
> ---
> Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> unsubscribe from this list.
>
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
