Re: bindshell chkrootkit warning
Il giorno Wed, 13 Jan 2010 21:54:21 +0100
mauro <mauro@966.it> ha scritto:
> non so' come te la cavi con l'inglese, ma questa definizione calza
bene: >
> Definition: statd (rpc.statd, NFS status daemon): The rpc.statd
service is a relatively obscure subsystem of the NFS protocol used
primarily on UNIX.
It is used so that if an NFS server crashes and comes back alive, it can
notify clients that this event happened. Many important vulnerabilities
have been found in rpc.statd. This means that while it is not so
important to system administrators, it is very important to hackers.
History: In 1998, Solaris systems across the Internet were broken into
via rpc.statd due to a buffer overflow vulnerability (see Solar
Sunrise). In 2000, Linux systems throughout the Internet were broken
into via a format string vulnerability. From Hacking-Lexicon > > -- >
Mauro Morichi > Nonsolocomputer s.r.l. > Roma > > > > > >>
>
il mio inglese non è un granché ma a quanto pare il processo si mette
in ascolto qualora un server NFS vada in crash e torni successivamente
attivo, è in grado anche di contattare i singoli client (se ho scritto
castronerie chiedo scusa).
sembra anche che sia una specie di groviera ma non dovrebbe essere il
mio caso, il server NFS è all'interno di una lan con solo due client
connessi.
naturalmente continuerò a monitorare ma penso che a questo punto possa
davvero trattarsi di un falso positivo...
grazie ancora a mauro per la disponibilità.
alessio.
Reply to: