Re: Porta TCP in listen senza nessun processo associato (rootkit o che altro?)
On Friday 31 July 2009 01:38:11 Fabio Napoleoni wrote:
> Stavo controllando una cosa con netstat quando mi sono accorto che
> c'erano alcune porte in listen che non conoscevo e su cui volevo
> indagare per capire a quali processi fossero associate. Ho fatto
> alcune ricerche su google su come risalire ai pid partendo dalle
> porte aperte e tutti i risultati che ho trovato portano a 3 comandi:
> fuser, netstat (con lo switch -p) oppure lsof. Le due porte che mi
> incuriosivano erano nello specifico la 47466 e la 36029. Per una di
> esse ho scoperto che si trattava di statd (in quanto la macchina
> monta un filesystem remoto via nfs) mentre per la seconda non ho
> trovato soluzione.
>
> Questo è l'output dei comandi che dicevo:
>
> host11:/home/fabio# netstat -ltnp
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address Foreign Address
> State PID/Program name
> tcp 0 0 0.0.0.0:10050 0.0.0.0:*
> LISTEN 2964/zabbix_agentd
> tcp 0 0 0.0.0.0:47466 0.0.0.0:*
> LISTEN 8867/rpc.statd
> tcp 0 0 0.0.0.0:3690 0.0.0.0:*
> LISTEN 8840/inetd
> tcp 0 0 0.0.0.0:3306 0.0.0.0:*
> LISTEN 2484/mysqld
> tcp 0 0 0.0.0.0:111 0.0.0.0:*
> LISTEN 8847/portmap
> tcp 0 0 0.0.0.0:22 0.0.0.0:*
> LISTEN 2394/sshd
> tcp 0 0 0.0.0.0:25 0.0.0.0:*
> LISTEN 2931/master
> tcp 0 0 0.0.0.0:36029 0.0.0.0:*
> LISTEN -
> tcp6 0 0 :::80 :::*
> LISTEN 12670/apache2
> tcp6 0 0 :::22 :::*
> LISTEN 2394/sshd
> tcp6 0 0 :::443 :::*
> LISTEN 12670/apache2
>
> host11:/home/fabio# lsof -b -n -i4tcp:36029
> host11:/home/fabio# lsof -b -n -i4tcp:47466
> COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
> rpc.statd 8867 statd 9u IPv4 25002505 TCP *:47466 (LISTEN)
>
> host11:/home/fabio# fuser -n tcp 47466
> 47466/tcp: 8867
> host11:/home/fabio# fuser -n tcp 36029
>
> Per cui sembrerebbe che alla porta 36029 non è associato nessun
> processo, il che mi fa alquanto preoccupare, non vorrei fosse una
> sorta di rootkit o qualche porcheria del genere.
>
> Facendo telnet sulla porta in questione riesco a connettermi, ma
> qualsiasi cosa scriva non ricevo nessuna risposta
>
> host11:~# telnet localhost 36029
> Trying 127.0.0.1...
> Connected to localhost.localdomain.
> Escape character is '^]'.
>
> Su una macchina gemella (con servizi simili avviati) trovo la stessa
> cosa, ma con un numero di porta diverso, in questo caso la 56909:
>
> host12:/home/fabio# netstat -ltnp | grep 56909
> Proto Recv-Q Send-Q Local Address Foreign Address
> State PID/Program name
> tcp 0 0 0.0.0.0:56909 0.0.0.0:*
> LISTEN -
>
> Entrambe hanno Debian Lenny aggiornata alle ultime versioni.
Prova a fare un rpcinfo -p, forse sono servizi associati a nfs.
Altro non mi viene in mente.
Luigi
Reply to: