взлом?

0

0

Здравствуйте. На двух серваках нашел непонятно кем открытые порты - на одном 32768, на другом 32832. fuser -n tcp port ничего не показали, chkrootkit и rkhunter тоже говорят что все в норме. Что случилось? Куда смотреть?

Ссылка

←	apache и его дырявость

соединиться с компом который сидит в инете через vpn реально???

→

lsof-ом посмотри

sasha999 ★★★★
(30.05.05 13:18:44 MSD)

Ответ на: комментарий от sasha999 30.05.05 13:18:44 MSD

не показывает этот порт

anonymous
(30.05.05 15:11:39 MSD)

Ответ на: комментарий от anonymous 30.05.05 15:11:39 MSD

а rpcinfo -p тоже не показывает ничего ?

sasha999 ★★★★
(30.05.05 18:13:37 MSD)

ну, а если к ним постучаться, что будет?

ivlad ★★★★★
(30.05.05 23:56:22 MSD)

Ссылка

Ответ на: комментарий от sasha999 30.05.05 18:13:37 MSD

Да, он на обоих серверах показывает, что это rpc. А зачем ему эти порты? Это не взлом значит?

anonymous
(31.05.05 08:04:26 MSD)

Ответ на: комментарий от anonymous 31.05.05 08:04:26 MSD

так тебе ж rpcinfo и показывает кто сидит на этих портах. по опыту могу предположить, что это nfs-related services (но могу и ошибаться ;) )

sasha999 ★★★★
(31.05.05 09:23:21 MSD)

Ссылка

# netstat -apn | egrep '32768|32832'

execve ★
(31.05.05 12:30:26 MSD)

Ссылка

Возможно LKM Rootkit. смотреть в сторону /etc/rc.d, чаще всего там.

Dr_UFO_51 ★
(31.05.05 21:22:45 MSD)

Ответ на: комментарий от Dr_UFO_51 31.05.05 21:22:45 MSD

У меня тоже chkrootkit 0.45 говорит что може быть есть LKM
Как это проверить ?

~~Mister~~
(01.06.05 18:42:07 MSD)

Ссылка

Совсем парня запугали... А может у тебя на машине стоит FTP-сервер который принимает пассивные подключения?? В этом случае он открывает порт 32768....По-моему так. Сделай netstat -nap и посмотри кому принадлежит открытый порт.

X-treme
(13.06.05 14:13:59 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	apache и его дырявость

Security

соединиться с компом который сидит в инете через vpn реально???

→

Похожие темы