[rlug] Re: chestii ciudate

[eugen]

pai io ma uitai prin /usr/src/linux/Documentation dupa eventd si kreclaimd
dar nu am gasit nimic.
partea interesanta e ca daca dau cu iptables DROP la pachetele care vin si
pleaca pe protul ala, la urmatoarea pornire a calculatorului isi schimba
portul. misto, nu ?

On Tue, 19 Dec 2000, Octavian Popescu wrote:

> kreclaimd-ul e sigur ce ti-am zis mai devreme.eventd-ul,avand in vedere
> ca-i primul proces pornit de init,nu prea cred ca e trojan...oricum,poti
> sa pui un tcpdump sau un sniffer pe portu respectiv si sa vezi exact ce
> trafic face.
> solutia pe care-o vad io e o recompilare a kernelului,cu mare atentie
> la tot ce pui in el (adica stai pe un task cu 'make menuconfig' si pe
> alalalt cu /usr/src/linux/Documentation/). dc mai iti apare eventd-u si
> dupa aia,mai dai un mesaj pe lista ;)
> 
> 
> --
> Octavian Popescu
> http://hideout.art.ro
> 
> On Tue, 19 Dec 2000 [EMAIL PROTECTED] wrote:
> 
> > eu nu am ncftpd ...
> > am doar un proftpd ... si atunci cine asculta pe portul 729 ?
> > nu am gasit nimic prin /usr/src/linux/Documentation despre kreclaimd, si
> > nici despre eventd...
> > 
> > si faza misto e ca am dat pentru moment DROP la pachetele care vin pe 729
> > si pleaca pe portul asta ... si dupa un reboot s-a mutat pe alt port :)
> > 
> > misto, nu ?
> > 
> > so, a mai intalnit careva faza asta ?
> > 
> > 
> > On Tue, 19 Dec 2000, Octavian Popescu wrote:
> > 
> > > kreclaimd-ul e ceva legat parca de swap,numai la kernelele 2.4.x.da si
> > > tu un 'grep kreclaimd /usr/src/linux/Documentation/*' si vezi ce gaseste.
> > > eventd-ul (tot parca) era un daemon din distributia ncftpd-ului
> > > (serverul) asa ca vezi prin .conf-urile lui (dc ai asa ceva).
> > > bafta! ;)
> > > 
> > > --
> > > Octavian Popescu
> > > http://hideout.art.ro
> > > 
> > > On Tue, 19 Dec 2000 [EMAIL PROTECTED] wrote:
> > > 
> > > > slackware 7.0 cu kernel 2.4.0-test11
> > > > 
> > > > On Tue, 19 Dec 2000, Octavian Popescu wrote:
> > > > 
> > > > > distributie/versiune/kernel (2.4.x ?)
> > > > > 
> > > > > --
> > > > > Octavian Popescu
> > > > > http://hideout.art.ro
> > > > > 
> > > > > On Sun, 17 Dec 2000 [EMAIL PROTECTED] wrote:
> > > > > 
> > > > > > de ceva timp, imi apare cand dau pstree urmatoarele procese: eventd si
> > > > > > kreclaimd.
> > > > > > le-am cautat pe hard da nu am dat de nici un executabil cu numele astora.
> > > > > > eventd are pid 2, iar kreclaimd are 4.
> > > > > > daca dau killall -9 eventd isi revine la loc, cu acelasi pid ca si cum
> > > > > > nimic nu s-ar fi intamplat
> > > > > > eventd asculta pe  un port 729, pr care nmap l-a identificat fiind 
> > > > > > netviewdm1 (IBM NetView DM/6000 Server/Client). si stiu sigur ca nu am asa
> > > > > > ceva pus sa ruleze pe calculator.
> > > > > > 
> > > > > > are careva idee ce inseamna asta ? sau macar cum sa omor procesele astea
> > > > > > doua ?
> > > > > > 
> > > > > > 
> > > > > > Eugen.
> > > > > > 
> > > > > > 
> > > > > > 
> > > > > > ---
> > > > > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> > > > > > unsubscribe from this list.
> > > > > > 
> > > > > 
> > > > > 
> > > > > ---
> > > > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> > > > > unsubscribe from this list.
> > > > > 
> > > > 
> > > > 
> > > > ---
> > > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> > > > unsubscribe from this list.
> > > > 
> > > 
> > > 
> > > ---
> > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> > > unsubscribe from this list.
> > > 
> > 
> > 
> > ---
> > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> > unsubscribe from this list.
> > 
> 
> 
> ---
> Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> unsubscribe from this list.
> 


---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.