Re: hidden ports
On Mon, Nov 26, 2018 at 01:39:26AM -0600, D. H. wrote:
> # netstat -anlp | grep 59282
> udp 0 0 0.0.0.0:59282 0.0.0.0:* -
>
> т.е. PID/Program name "-"
>
> Собственно два вопроса:
> 1) Как бы вычислить процесс?
Для начала применить альтернативы netstat'у, например, ss и lsof.
> 2) А как оно вообще так получается? Потому что подобных процессов
> обнаружилось несколько:
Скорее всего троян подменил системные бинари (в т.ч. netstat) на свои,
ломаные. Но поломать структуры ядра довольно сложно, а заменить
все бинари в системе невозможно, поэтому применение альтернативных
утилит скорее всего поможет.
В крайнем случае можно содержимое /proc/net/tcp (который читает
netstat) прочесть разобрать самостоятельно. :)
А вообще нужно искать проверялку на руткиты (check root kit)
и проверять ею систему. Затем, скорее всего, придётся переставить
систему с нуля и закрыть все критичные порты пакетным фильтром.
--
Eugene Berdnikov
Reply to: