Re: lug-bg: Порт 905?

[Peter Pentchev <roam@xxxxxxxxxxx>]

On Thu, Jun 03, 2004 at 04:10:43PM +0200, Nickolay Kolev wrote:
> Здравйте,
> 
> Проверих си машината с нмап и гледам, че порт 905/tcp е отворен...  
> Никъде нищо не пише за тоя порт, обаче намерих 2 други обезпокоителни  
> страници...
> 
> http://securityresponse.symantec.com/avcenter/venc/data/ 
> backdoor.netdevil.b.html
> 
> и
> 
> http://hq.mcafeeasap.com/dispVirus.asp?virus_k=100721
> 
> Първото съобщение не ме притеснява, второто е по-обезпокоително. Файл с  
> името руутд не можах да намеря по системата, ама то не е гаранция, че  
> не са го прекръстили някак иначе...
> 
> Как да проверя кой слуша на порт 905?

Ако това е Linux и имаш fuser (може да се е скрило в /usr/sbin
примерно), един от по-лесните начини е 'fuser -n tcp 905' - това трябва
да ти покаже process ID's.  Ако искаш малко повече информация, 'fuser -n
tcp -v 905' ще ти покаже и имената на процесите.

Ако си пък от хитрите хора, които са си инсталирали и lsof, тогава
съвсем лесно: 'lsof -n -i tcp:22' ще ти каже дори малко повече неща и от
fuser :)

Сложното става, когато netstat примерно покаже, че нещо слуша на порт
905, а нито fuser, нито lsof покажат какво.  Това значи, че някой е
седнал и е написал kernel module, който се занимава с това... а там
вече, ако lsmod не показва нищо подозрително, кофти - сблъскал си се с
rootkit (или просто умен attacker), достатъчно умен, за да използва
kernel modules и да не ти дава много начини да ги махнеш...  Ако се е
стигнало дотам, не си много далеч от стъпката 'backup на всички данни -
и само данните - и преинсталиране' :(

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
"yields falsehood, when appended to its quotation." yields falsehood, when appended to its quotation.

Attachment: pgpCeur67PWll.pgp
Description: PGP signature