Re: hidden ports

["D. H." <d.himro@yahoo.com>]

On 2018-11-26 2:18 a.m., Eugene Berdnikov wrote:
> On Mon, Nov 26, 2018 at 01:39:26AM -0600, D. H. wrote:
>> # netstat -anlp | grep 59282
>> udp         0  0 0.0.0.0:59282     0.0.0.0:*        -
>>
>> т.е. PID/Program name "-"
>>
>> Собственно два вопроса:
>> 1) Как бы вычислить процесс?
>
>  Для начала применить альтернативы netstat'у, например, ss и lsof.

lsof и ss ничего не дали. ss вообде не обнаружил этого порта среди udp

uhnide также ничего не дал.


>> 2) А как оно вообще так получается? Потому что подобных процессов
>> обнаружилось несколько:
>
>  Скорее всего троян подменил системные бинари (в т.ч. netstat) на свои,
>  ломаные. Но поломать структуры ядра довольно сложно, а заменить
>  все бинари в системе невозможно, поэтому применение альтернативных
>  утилит скорее всего поможет.


Предполагаю что троян использовал бы один и тот же порт и появлялся бы
сразу после старта системы, а этот появляется только через несколько дней.

Через debsums проверил систему, вроде все пакеты на месте и правильные.
Да и сама система прямого входа извне не имеет. Она как host для lxc
контейнеров.

>  В крайнем случае можно содержимое /proc/net/tcp (который читает
>  netstat) прочесть разобрать самостоятельно.

Этот вариант ещё буду пробовать

>  А вообще нужно искать проверялку на руткиты (check root kit)
>  и проверять ею систему. Затем, скорее всего, придётся переставить
>  систему с нуля и закрыть все критичные порты пакетным фильтром.


так вот rkhunter это и выдаёт. Но только это и всё.