[rlug] Re: ROOTKIT bindshell

Dan Caescu Tue, 24 Apr 2001 16:50:47 -0700

ma da e o chestie chiar ciudata aici
am instalat un freebsd nou noutz si apoi l-am bagat in hub cu inca o masina
care avea nmap pe ea (in hub nu mai era nimic altceva in afara de astea
doua)
si uimitor!! mi-a si gasit deschise 12345 si 31337
dau un killall la nushce daemoni de genul usbd, healthd (care-s legitimi in
freebsd , n-au nici o treaba cu rk-urile) si dispar apoi porturile..deci?
care-i faza pana la urma?
freebsd distribuie iso-uri cu chestii trojaned? nu prea cred.. :))
si asta s-a intamplat si la destule linux-uri care tocmai ce le-am instalat
si le bagam in acelasi hub inainte sa le dau la "produs" si le scanam...
same ports cam in 75 % din cazuri


-----Original Message-----
From: Gushterul <[EMAIL PROTECTED]>
To: Mihai Mreana <[EMAIL PROTECTED]>
Date: Tuesday, April 24, 2001 9:36 PM
Subject: [rlug] Re: ROOTKIT bindshell


>
>Hello Mihai,
>
>n-are nici o treaba cu troianii ashtia pentru ca troianii sunt de
>windows... 99% ca pe 31337 este un bnc :)
>eu ash pune un tcpdump sa vad cine se conecteaza la el si cine il
>foloseste etc...
>
>Gushterul
>
>Tuesday, April 24, 2001, 4:29:47 AM, you wrote:
>
>MM> De la http://www.simovits.com/trojans/trojans.html citire:
>MM> port 31337: Back Fire, Back Orifice 1.20 patches, Back Orifice (Lm),
Back
>MM> Orifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2,
cron
>MM> / crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini
>
>MM> -----Original Message-----
>MM> From: George Serban [mailto:[EMAIL PROTECTED]]
>MM> Sent: Tuesday, April 24, 2001 1:11 PM
>MM> To: [EMAIL PROTECTED]
>MM> Subject: [rlug] ROOTKIT bindshell
>
>
>
>MM> rootkitul meu imi detecteaza:
>
>MM> Checking `bindshell'... INFECTED (PORTS:  31337)
>
>MM> Desi masina nu are nici o alta urma de ceva neinregula
>
>MM> [root@ns chkrootkit-0.31]# netstat -all | grep 31337
>MM> tcp        0      0 *:31337                 *:*
>MM> LISTEN
>MM> udp        0      0 *:31337                 *:*
>
>MM> Ce spuneti despre asta ?? si ce pot sa fac?
>
>MM> George
>
>
>--
>Best regards,
> Gushterul                            mailto:[EMAIL PROTECTED]
>
>
>---
>Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
>unsubscribe from this list.
>

---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.
[rlug] Re: ROOTKIT bindshell

Raspunde prin e-mail lui
