Am Montag 27 Oktober 2008 schrieb Lars Wessels:
> Martin Steigerwald schrieb:
> > Die Socket-IDs tauchen auch unter /proc auf. Deshalb wundert mich ja,
> > dass
> > lsof -i die nicht rausrückt. Vielleicht hilft ja die manuelle Suche
> > via find?
> >
> > shambhala:/> netstat -tulpen | grep 6470
> > tcp 0 0 127.0.0.1:8118 0.0.0.0:*
> > LISTEN 104 6470 2770/privoxy
> > shambhala:/> find /proc -lname "*6470*" -exec ls -l {} \; 2>/dev/null
> > lrwx------ 1 root root 64 26. Okt 18:49 /proc/2770/task/2770/fd/1 ->
> > socket:[6470]
> > lrwx------ 1 root root 64 26. Okt 18:48 /proc/2770/fd/1 ->
> > socket:[6470] shambhala:/#1>
> >
> > shambhala:/> netstat -tulpen | grep 14937054
> > tcp 0 0 127.0.0.1:631 0.0.0.0:*
> > LISTEN 0 14937054 6056/cupsd
> > shambhala:/> find /proc -lname "*14937054*" -exec ls -l {} \;
> > 2>/dev/null lrwx------ 1 root root 64 26. Okt 18:49
> > /proc/6056/task/6056/fd/2 -> socket:[14937054]
> > lrwx------ 1 root root 64 26. Okt 18:48 /proc/6056/fd/2 -> socket:
> > [14937054]
> > shambhala:/#1>
>
> Auch hier kein Befund unter /proc. :-(
Arg merkwürdig.
>
> Habe mir mal folgende Zeile aus der Ausgabe von 'netstat -tulpen'
> herausgesucht:
>
> tcp 0 0 0.0.0.0:47264 0.0.0.0:*
> LISTEN 0 193793 -
>
> Leider liefert...
>
> xxxx:/proc# find . -lname "*193793*" -exec ls -l {} \; 2>/dev/null
>
> keine Ausgabe!
>
>
> Zur Kontrolle:
>
> tcp 0 0 0.0.0.0:954 0.0.0.0:*
> LISTEN 0 5902 3318/rpc.mountd
>
> liefert wie erwartet...
>
> xxxx:/proc# find . -lname "*5902*" -exec ls -l {} \; 2>/dev/null
> lrwx------ 1 root root 64 2008-10-27 16:08 ./3318/task/3318/fd/7 ->
> socket:[5902]
> lrwx------ 1 root root 64 2008-10-27 16:07 ./3318/fd/7 -> socket:[5902]
>
>
> Ich bin langsam am verzweifeln! Es muss doch irgendwie herauszufinden
> sein, wer oder was diese Ports öffnet. Diese "Geisterports" machen mir
> langsam Angst. Deshalb nochmals die Frage: wer kennt sich hier mit
> 'auditd' aus? Über das Auditing von open() auf Inodes bzw. TCP-Ports
> müsste doch der Übertäter herauszufinden sein...
Es sei denn, es handelt sich um ein RootKit das sich versteckt ;)
Hast Du mal ne Knoppix / GRML mit den üblichen Rootkit-Checkern drauf
losgelassen?
shambhala:/etc> apt-cache search rootkit
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports
chkrootkit - Erkennungsprogramm für Rootkits
Ich habe bislang nicht ein einziges davon verwenden müssen. Hmm, aber
dieses unhide hört sich ja nicht ganz verkehrt an... ;):
apt-cache show:
unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)
Das syscall scanning und PID brute-forcing könnte was bringen...
auditd kenne ich gar nicht... wenn Du einen konkreten Verdacht hast,
könntest Du strace an den entsprechenden Prozess dranhängen. Doch auch
das bringt in der Regel nichts, wenn es sich um ein Rootkit handelt.
Weiter weiß ich auch nicht.
Ciao,
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.