[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: hidden ports

On 11/26/18 12:25 PM, blogdron wrote:
> Ну для начала нужно netstat поглядеть кто там порт юзает, и если это прода машина у которой каждый
> юзаемый порт задокументирован и этого там нет то блокировать и проводить аудит....наверное
>
> пн, 26 нояб. 2018 г. в 20:18, Tim Sattarov <stimur@gmail.com <mailto:stimur@gmail.com>>:
>
>     On 11/26/18 2:39 AM, D. H. wrote:
>     > Всем доброго времени суток. Некоторое время назад на одной из машин
>     > периодически logwatch выдаёт вот такое:
>     >
>     > Warning: Hidden ports found:
>     >          Port number: UDP:59282
>     >
>     эти логи скорее всего генерируются rkhunter, который использует unhide для поиска скрытых портов.
>     и именно unhide выдает такое сообщение.
>     насколько я помню, у него бывают ложные срабатывания, так что я бы перепроверил несколько раз
>     перед
>     тем как паниковать.
>
>

см выше вывод netstat, который сделан от непривилегированного пользователя

вот как выглядит это на моей машине:

от простого пользователя:

netstat -lnpu | grep -w 53
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
udp        0      0 127.0.0.53:53           0.0.0.0:*                           -


от рута:

netstat -lnpu | grep -w 53
udp        0      0 127.0.0.53:53           0.0.0.0:*                           964/systemd-resolve


P.S. и для самообразования: https://en.wikipedia.org/wiki/Posting_style#Top-posting
в этой рассылке использется https://en.wikipedia.org/wiki/Posting_style#Bottom-posting
Reply to: