[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Porta TCP in listen senza nessun processo associato (rootkit o che altro?)

Stavo controllando una cosa con netstat quando mi sono accorto che c'erano alcune porte in listen che non conoscevo e su cui volevo indagare per capire a quali processi fossero associate. Ho fatto alcune ricerche su google su come risalire ai pid partendo dalle porte aperte e tutti i risultati che ho trovato portano a 3 comandi: fuser, netstat (con lo switch -p) oppure lsof. Le due porte che mi incuriosivano erano nello specifico la 47466 e la 36029. Per una di esse ho scoperto che si trattava di statd (in quanto la macchina monta un filesystem remoto via nfs) mentre per la seconda non ho trovato soluzione. 

Questo è l'output dei comandi che dicevo:

host11:/home/fabio# netstat -ltnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:10050 0.0.0.0:* LISTEN 2964/zabbix_agentd tcp 0 0 0.0.0.0:47466 0.0.0.0:* LISTEN 8867/rpc.statd tcp 0 0 0.0.0.0:3690 0.0.0.0:* LISTEN 8840/inetd tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2484/mysqld tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 8847/portmap tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2394/sshd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 2931/master tcp 0 0 0.0.0.0:36029 0.0.0.0:* LISTEN - tcp6 0 0 :::80 :::* LISTEN 12670/apache2 tcp6 0 0 :::22 :::* LISTEN 2394/sshd tcp6 0 0 :::443 :::* LISTEN 12670/apache2 

host11:/home/fabio# lsof -b -n -i4tcp:36029
host11:/home/fabio# lsof -b -n -i4tcp:47466
COMMAND    PID  USER   FD   TYPE   DEVICE SIZE NODE NAME
rpc.statd 8867 statd    9u  IPv4 25002505       TCP *:47466 (LISTEN)

host11:/home/fabio# fuser -n tcp 47466
47466/tcp:            8867
host11:/home/fabio# fuser -n tcp 36029
Per cui sembrerebbe che alla porta 36029 non è associato nessun processo, il che mi fa alquanto preoccupare, non vorrei fosse una sorta di rootkit o qualche porcheria del genere.
Facendo telnet sulla porta in questione riesco a connettermi, ma qualsiasi cosa scriva non ricevo nessuna risposta 

host11:~# telnet localhost  36029
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
Su una macchina gemella (con servizi simili avviati) trovo la stessa cosa, ma con un numero di porta diverso, in questo caso la 56909: 

host12:/home/fabio# netstat -ltnp | grep 56909
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:56909 0.0.0.0:* LISTEN - 

Entrambe hanno Debian Lenny aggiornata alle ultime versioni.

Grazie per l'aiuto.

--
Fabio Napoleoni
f.napoleoni@email.it

****************************************************************
 "Computer Science is no more about computers than astronomy is
 about telescopes"
                                             Edsger W. Dijkstra
****************************************************************
Reply to: