Porta TCP in listen senza nessun processo associato (rootkit o che altro?)
Stavo controllando una cosa con netstat quando mi sono accorto che
c'erano alcune porte in listen che non conoscevo e su cui volevo
indagare per capire a quali processi fossero associate. Ho fatto alcune
ricerche su google su come risalire ai pid partendo dalle porte aperte e
tutti i risultati che ho trovato portano a 3 comandi: fuser, netstat
(con lo switch -p) oppure lsof. Le due porte che mi incuriosivano erano
nello specifico la 47466 e la 36029. Per una di esse ho scoperto che si
trattava di statd (in quanto la macchina monta un filesystem remoto via
nfs) mentre per la seconda non ho trovato soluzione.
Questo è l'output dei comandi che dicevo:
host11:/home/fabio# netstat -ltnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address
State PID/Program name
tcp 0 0 0.0.0.0:10050 0.0.0.0:*
LISTEN 2964/zabbix_agentd
tcp 0 0 0.0.0.0:47466 0.0.0.0:*
LISTEN 8867/rpc.statd
tcp 0 0 0.0.0.0:3690 0.0.0.0:*
LISTEN 8840/inetd
tcp 0 0 0.0.0.0:3306 0.0.0.0:*
LISTEN 2484/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:*
LISTEN 8847/portmap
tcp 0 0 0.0.0.0:22 0.0.0.0:*
LISTEN 2394/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:*
LISTEN 2931/master
tcp 0 0 0.0.0.0:36029 0.0.0.0:*
LISTEN -
tcp6 0 0 :::80 :::*
LISTEN 12670/apache2
tcp6 0 0 :::22 :::*
LISTEN 2394/sshd
tcp6 0 0 :::443 :::*
LISTEN 12670/apache2
host11:/home/fabio# lsof -b -n -i4tcp:36029
host11:/home/fabio# lsof -b -n -i4tcp:47466
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 8867 statd 9u IPv4 25002505 TCP *:47466 (LISTEN)
host11:/home/fabio# fuser -n tcp 47466
47466/tcp: 8867
host11:/home/fabio# fuser -n tcp 36029
Per cui sembrerebbe che alla porta 36029 non è associato nessun
processo, il che mi fa alquanto preoccupare, non vorrei fosse una sorta
di rootkit o qualche porcheria del genere.
Facendo telnet sulla porta in questione riesco a connettermi, ma
qualsiasi cosa scriva non ricevo nessuna risposta
host11:~# telnet localhost 36029
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
Su una macchina gemella (con servizi simili avviati) trovo la stessa
cosa, ma con un numero di porta diverso, in questo caso la 56909:
host12:/home/fabio# netstat -ltnp | grep 56909
Proto Recv-Q Send-Q Local Address Foreign Address
State PID/Program name
tcp 0 0 0.0.0.0:56909 0.0.0.0:*
LISTEN -
Entrambe hanno Debian Lenny aggiornata alle ultime versioni.
Grazie per l'aiuto.
--
Fabio Napoleoni
f.napoleoni@email.it
****************************************************************
"Computer Science is no more about computers than astronomy is
about telescopes"
Edsger W. Dijkstra
****************************************************************
Reply to: