Re: hidden ports
On 2018-11-26 2:18 a.m., Eugene Berdnikov wrote:
> On Mon, Nov 26, 2018 at 01:39:26AM -0600, D. H. wrote:
>> # netstat -anlp | grep 59282
>> udp 0 0 0.0.0.0:59282 0.0.0.0:* -
>>
>> т.е. PID/Program name "-"
>>
>> Собственно два вопроса:
>> 1) Как бы вычислить процесс?
>
> Для начала применить альтернативы netstat'у, например, ss и lsof.
lsof и ss ничего не дали. ss вообде не обнаружил этого порта среди udp
uhnide также ничего не дал.
>> 2) А как оно вообще так получается? Потому что подобных процессов
>> обнаружилось несколько:
>
> Скорее всего троян подменил системные бинари (в т.ч. netstat) на свои,
> ломаные. Но поломать структуры ядра довольно сложно, а заменить
> все бинари в системе невозможно, поэтому применение альтернативных
> утилит скорее всего поможет.
Предполагаю что троян использовал бы один и тот же порт и появлялся бы
сразу после старта системы, а этот появляется только через несколько дней.
Через debsums проверил систему, вроде все пакеты на месте и правильные.
Да и сама система прямого входа извне не имеет. Она как host для lxc
контейнеров.
> В крайнем случае можно содержимое /proc/net/tcp (который читает
> netstat) прочесть разобрать самостоятельно.
Этот вариант ещё буду пробовать
> А вообще нужно искать проверялку на руткиты (check root kit)
> и проверять ею систему. Затем, скорее всего, придётся переставить
> систему с нуля и закрыть все критичные порты пакетным фильтром.
так вот rkhunter это и выдаёт. Но только это и всё.
Reply to: