[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Porta TCP in listen senza nessun processo associato (rootkit o che altro?)

On Friday 31 July 2009 01:38:11 Fabio Napoleoni wrote:
> Stavo controllando una cosa con netstat quando mi sono accorto che
> c'erano alcune porte in listen che non conoscevo e su cui volevo
> indagare per capire a quali processi fossero associate. Ho fatto
> alcune ricerche su google su come risalire ai pid partendo dalle
> porte aperte e tutti i risultati che ho trovato portano a 3 comandi:
> fuser, netstat (con lo switch -p) oppure lsof. Le due porte che mi
> incuriosivano erano nello specifico la 47466 e la 36029. Per una di
> esse ho scoperto che si trattava di statd (in quanto la macchina
> monta un filesystem remoto via nfs) mentre per la seconda non ho
> trovato soluzione.
>
> Questo è l'output dei comandi che dicevo:
>
> host11:/home/fabio# netstat -ltnp
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State       PID/Program name
> tcp        0      0 0.0.0.0:10050           0.0.0.0:*
> LISTEN      2964/zabbix_agentd
> tcp        0      0 0.0.0.0:47466           0.0.0.0:*
> LISTEN      8867/rpc.statd
> tcp        0      0 0.0.0.0:3690            0.0.0.0:*
> LISTEN      8840/inetd
> tcp        0      0 0.0.0.0:3306            0.0.0.0:*
> LISTEN      2484/mysqld
> tcp        0      0 0.0.0.0:111             0.0.0.0:*
> LISTEN      8847/portmap
> tcp        0      0 0.0.0.0:22              0.0.0.0:*
> LISTEN      2394/sshd
> tcp        0      0 0.0.0.0:25              0.0.0.0:*
> LISTEN      2931/master
> tcp        0      0 0.0.0.0:36029           0.0.0.0:*
> LISTEN      -
> tcp6       0      0 :::80                   :::*
> LISTEN      12670/apache2
> tcp6       0      0 :::22                   :::*
> LISTEN      2394/sshd
> tcp6       0      0 :::443                  :::*
> LISTEN      12670/apache2
>
> host11:/home/fabio# lsof -b -n -i4tcp:36029
> host11:/home/fabio# lsof -b -n -i4tcp:47466
> COMMAND    PID  USER   FD   TYPE   DEVICE SIZE NODE NAME
> rpc.statd 8867 statd    9u  IPv4 25002505       TCP *:47466 (LISTEN)
>
> host11:/home/fabio# fuser -n tcp 47466
> 47466/tcp:            8867
> host11:/home/fabio# fuser -n tcp 36029
>
> Per cui sembrerebbe che alla porta 36029 non è associato nessun
> processo, il che mi fa alquanto preoccupare, non vorrei fosse una
> sorta di rootkit o qualche porcheria del genere.
>
> Facendo telnet sulla porta in questione riesco a connettermi, ma
> qualsiasi cosa scriva non ricevo nessuna risposta
>
> host11:~# telnet localhost  36029
> Trying 127.0.0.1...
> Connected to localhost.localdomain.
> Escape character is '^]'.
>
> Su una macchina gemella (con servizi simili avviati) trovo la stessa
> cosa, ma con un numero di porta diverso, in questo caso la 56909:
>
> host12:/home/fabio# netstat -ltnp | grep 56909
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State       PID/Program name
> tcp        0      0 0.0.0.0:56909           0.0.0.0:*
> LISTEN      -
>
> Entrambe hanno Debian Lenny aggiornata alle ultime versioni.
Prova a fare un rpcinfo -p, forse sono servizi associati a nfs.
Altro non mi viene in mente.
Luigi
Reply to: