Re: hidden ports

To: debian-russian@lists.debian.org
Subject: Re: hidden ports
From: Eugene Berdnikov <bd4@protva.ru>
Date: Mon, 26 Nov 2018 11:18:09 +0300
Message-id: <[🔎] 20181126081809.GA3528@protva.ru>
In-reply-to: <[🔎] d92c9fdf-cb93-4db1-b37e-7cf0f154b347@yahoo.com>
References: <[🔎] d92c9fdf-cb93-4db1-b37e-7cf0f154b347@yahoo.com>

On Mon, Nov 26, 2018 at 01:39:26AM -0600, D. H. wrote:
> # netstat -anlp | grep 59282
> udp         0  0 0.0.0.0:59282     0.0.0.0:*        -
> 
> т.е. PID/Program name "-"
> 
> Собственно два вопроса:
> 1) Как бы вычислить процесс?

 Для начала применить альтернативы netstat'у, например, ss и lsof.

> 2) А как оно вообще так получается? Потому что подобных процессов
> обнаружилось несколько:

 Скорее всего троян подменил системные бинари (в т.ч. netstat) на свои,
 ломаные. Но поломать структуры ядра довольно сложно, а заменить
 все бинари в системе невозможно, поэтому применение альтернативных
 утилит скорее всего поможет.

 В крайнем случае можно содержимое /proc/net/tcp (который читает
 netstat) прочесть разобрать самостоятельно. :)

 А вообще нужно искать проверялку на руткиты (check root kit)
 и проверять ею систему. Затем, скорее всего, придётся переставить
 систему с нуля и закрыть все критичные порты пакетным фильтром.
-- 
 Eugene Berdnikov

Reply to:

Follow-Ups:
- Re: hidden ports
  - From: "D. H." <d.himro@yahoo.com>

References:
- hidden ports
  - From: "D. H." <d.himro@yahoo.com>

Prev by Date: Re: btrfs?
Next by Date: Re: hidden ports
Previous by thread: hidden ports
Next by thread: Re: hidden ports
Index(es):
- Date
- Thread