forum.opennet.ru - "Вопрос по rootkits в FreeBSD" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вопрос по rootkits в FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по rootkits в FreeBSD"
Сообщение от Atos (??) on 29-Мрт-05, 14:15 (MSK)
Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8) Установил chkrootkit проверил, благо ничего он не нашел. Но вот запустил: nmap -v -P0 -sU -sT -p 1-65535 ip_addr И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an Не видны. Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Вопрос по rootkits в FreeBSD, Alexander Grigoriev, 14:32 , 29-Мрт-05, (1)
Вопрос по rootkits в FreeBSD, lavr, 14:35 , 29-Мрт-05, (2)
- Вопрос по rootkits в FreeBSD, Hamm, 08:31 , 31-Мрт-05, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по rootkits в FreeBSD"

Сообщение от Alexander Grigoriev on 29-Мрт-05, 14:32  (MSK)

>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
>Установил chkrootkit проверил, благо ничего он не нашел.
>Но вот запустил:
>nmap -v -P0 -sU -sT -p 1-65535 ip_addr
>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
>
>Не видны.
Должно быть видно.
>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?
sockstat

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вопрос по rootkits в FreeBSD"

Сообщение от lavr on 29-Мрт-05, 14:35  (MSK)

>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
>Установил chkrootkit проверил, благо ничего он не нашел.
>Но вот запустил:
>nmap -v -P0 -sU -sT -p 1-65535 ip_addr
>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
>
>Не видны.
>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?
sockstat или lsof из портов
например:
[unix1]~ > nmap -v localhost
...
(The 1642 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
443/tcp  open  https
762/tcp  open  quotad
910/tcp  open  unknown
993/tcp  open  imaps
995/tcp  open  pop3s
1517/tcp open  vpac
2022/tcp open  down
2049/tcp open  nfs
3306/tcp open  mysql
8080/tcp open  http-proxy
Nmap run completed -- 1 IP address (1 host up) scanned in 23.597 seconds
[unix1]~ >
допустим порт 2022/tcp неизвестен:
[unix1]~ > sockstat | grep 2022
lavr     sshd     23320    7 tcp4   159.93.44.57:2022     62.84.100.160:60403
root     sshd     23318    7 tcp4   159.93.44.57:2022     62.84.100.160:60403
lavr     sshd     16367    7 tcp4   159.93.44.57:2022     62.84.100.160:61893
root     sshd     16365    7 tcp4   159.93.44.57:2022     62.84.100.160:61893
lavr     sshd      1831    7 tcp4   159.93.44.57:2022     62.84.100.160:53247
root     sshd      1829    7 tcp4   159.93.44.57:2022     62.84.100.160:53247
lavr     sshd      1810    7 tcp4   159.93.44.57:2022     62.84.100.160:58906
root     sshd      1808    7 tcp4   159.93.44.57:2022     62.84.100.160:58906
lavr     sshd      1789    7 tcp4   159.93.44.57:2022     62.84.100.160:50346
root     sshd      1787    7 tcp4   159.93.44.57:2022     62.84.100.160:50346
root     sshd       134    4 tcp4   *:2022                *:*
root     sshd       134    3 tcp46  *:2022                *:*
[unix1]~ >
его использует sshd
или занято устройство /dev/dsp (музыка не запускается):
[alone]~ > lsof /dev/dsp0.0
lsof: WARNING: compiled for FreeBSD release 5.3-RELEASE-p1; this is 5.3-RELEASE-p5.
COMMAND   PID USER   FD   TYPE DEVICE  SIZE/OFF NODE NAME
esd     29768 lavr    7w  VCHR   30,3 0t4575232  110 /dev/dsp0.0
[alone]~ >
занято esd (esound сервером)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вопрос по rootkits в FreeBSD"

Сообщение от Hamm on 31-Мрт-05, 08:31  (MSK)

>>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
>>Установил chkrootkit проверил, благо ничего он не нашел.
>>Но вот запустил:
>>nmap -v -P0 -sU -sT -p 1-65535 ip_addr
>>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
>>
>>Не видны.
>>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?
>
>sockstat или lsof из портов
>
>например:
>
>[unix1]~ > nmap -v localhost
>...
>(The 1642 ports scanned but not shown below are in state: closed)
>
>PORT     STATE SERVICE
>21/tcp   open  ftp
>22/tcp   open  ssh
>25/tcp   open  smtp
>53/tcp   open  domain
>80/tcp   open  http
>110/tcp  open  pop3
>111/tcp  open  rpcbind
>143/tcp  open  imap
>443/tcp  open  https
>762/tcp  open  quotad
>910/tcp  open  unknown
>993/tcp  open  imaps
>995/tcp  open  pop3s
>1517/tcp open  vpac
>2022/tcp open  down
>2049/tcp open  nfs
>3306/tcp open  mysql
>8080/tcp open  http-proxy
>
>Nmap run completed -- 1 IP address (1 host up) scanned in
>23.597 seconds
>[unix1]~ >
>
>допустим порт 2022/tcp неизвестен:
>
>[unix1]~ > sockstat | grep 2022
>lavr     sshd     23320
>  7 tcp4   159.93.44.57:2022
>62.84.100.160:60403
>root     sshd     23318
>  7 tcp4   159.93.44.57:2022
>62.84.100.160:60403
>lavr     sshd     16367
>  7 tcp4   159.93.44.57:2022
>62.84.100.160:61893
>root     sshd     16365
>  7 tcp4   159.93.44.57:2022
>62.84.100.160:61893
>lavr     sshd      1831
>   7 tcp4   159.93.44.57:2022
> 62.84.100.160:53247
>root     sshd      1829
>   7 tcp4   159.93.44.57:2022
> 62.84.100.160:53247
>lavr     sshd      1810
>   7 tcp4   159.93.44.57:2022
> 62.84.100.160:58906
>root     sshd      1808
>   7 tcp4   159.93.44.57:2022
> 62.84.100.160:58906
>lavr     sshd      1789
>   7 tcp4   159.93.44.57:2022
> 62.84.100.160:50346
>root     sshd      1787
>   7 tcp4   159.93.44.57:2022
> 62.84.100.160:50346
>root     sshd
>134    4 tcp4   *:2022
>
>  *:*
>root     sshd
>134    3 tcp46  *:2022
>
> *:*
>[unix1]~ >
>
>его использует sshd
>
>или занято устройство /dev/dsp (музыка не запускается):
>
>[alone]~ > lsof /dev/dsp0.0
>lsof: WARNING: compiled for FreeBSD release 5.3-RELEASE-p1; this is 5.3-RELEASE-p5.
>COMMAND   PID USER   FD   TYPE DEVICE
> SIZE/OFF NODE NAME
>esd     29768 lavr    7w
>VCHR   30,3 0t4575232  110 /dev/dsp0.0
>[alone]~ >
>
>занято esd (esound сервером)

Rootkit Hunter еубу поможет http://www.rootkit.nl

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по rootkits в FreeBSD"
Сообщение от Alexander Grigoriev on 29-Мрт-05, 14:32 (MSK)
>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8) >Установил chkrootkit проверил, благо ничего он не нашел. >Но вот запустил: >nmap -v -P0 -sU -sT -p 1-65535 ip_addr >И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an > >Не видны. Должно быть видно. >Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт? sockstat
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Вопрос по rootkits в FreeBSD"
Сообщение от lavr on 29-Мрт-05, 14:35 (MSK)
>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8) >Установил chkrootkit проверил, благо ничего он не нашел. >Но вот запустил: >nmap -v -P0 -sU -sT -p 1-65535 ip_addr >И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an > >Не видны. >Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт? sockstat или lsof из портов например: [unix1]~ > nmap -v localhost ... (The 1642 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 762/tcp open quotad 910/tcp open unknown 993/tcp open imaps 995/tcp open pop3s 1517/tcp open vpac 2022/tcp open down 2049/tcp open nfs 3306/tcp open mysql 8080/tcp open http-proxy Nmap run completed -- 1 IP address (1 host up) scanned in 23.597 seconds [unix1]~ > допустим порт 2022/tcp неизвестен: [unix1]~ > sockstat \| grep 2022 lavr sshd 23320 7 tcp4 159.93.44.57:2022 62.84.100.160:60403 root sshd 23318 7 tcp4 159.93.44.57:2022 62.84.100.160:60403 lavr sshd 16367 7 tcp4 159.93.44.57:2022 62.84.100.160:61893 root sshd 16365 7 tcp4 159.93.44.57:2022 62.84.100.160:61893 lavr sshd 1831 7 tcp4 159.93.44.57:2022 62.84.100.160:53247 root sshd 1829 7 tcp4 159.93.44.57:2022 62.84.100.160:53247 lavr sshd 1810 7 tcp4 159.93.44.57:2022 62.84.100.160:58906 root sshd 1808 7 tcp4 159.93.44.57:2022 62.84.100.160:58906 lavr sshd 1789 7 tcp4 159.93.44.57:2022 62.84.100.160:50346 root sshd 1787 7 tcp4 159.93.44.57:2022 62.84.100.160:50346 root sshd 134 4 tcp4 :2022 :* root sshd 134 3 tcp46 :2022 :* [unix1]~ > его использует sshd или занято устройство /dev/dsp (музыка не запускается): [alone]~ > lsof /dev/dsp0.0 lsof: WARNING: compiled for FreeBSD release 5.3-RELEASE-p1; this is 5.3-RELEASE-p5. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME esd 29768 lavr 7w VCHR 30,3 0t4575232 110 /dev/dsp0.0 [alone]~ > занято esd (esound сервером)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Вопрос по rootkits в FreeBSD"
	Сообщение от Hamm on 31-Мрт-05, 08:31 (MSK)
	>>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8) >>Установил chkrootkit проверил, благо ничего он не нашел. >>Но вот запустил: >>nmap -v -P0 -sU -sT -p 1-65535 ip_addr >>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an >> >>Не видны. >>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт? > >sockstat или lsof из портов > >например: > >[unix1]~ > nmap -v localhost >... >(The 1642 ports scanned but not shown below are in state: closed) > >PORT STATE SERVICE >21/tcp open ftp >22/tcp open ssh >25/tcp open smtp >53/tcp open domain >80/tcp open http >110/tcp open pop3 >111/tcp open rpcbind >143/tcp open imap >443/tcp open https >762/tcp open quotad >910/tcp open unknown >993/tcp open imaps >995/tcp open pop3s >1517/tcp open vpac >2022/tcp open down >2049/tcp open nfs >3306/tcp open mysql >8080/tcp open http-proxy > >Nmap run completed -- 1 IP address (1 host up) scanned in >23.597 seconds >[unix1]~ > > >допустим порт 2022/tcp неизвестен: > >[unix1]~ > sockstat \| grep 2022 >lavr sshd 23320 > 7 tcp4 159.93.44.57:2022 >62.84.100.160:60403 >root sshd 23318 > 7 tcp4 159.93.44.57:2022 >62.84.100.160:60403 >lavr sshd 16367 > 7 tcp4 159.93.44.57:2022 >62.84.100.160:61893 >root sshd 16365 > 7 tcp4 159.93.44.57:2022 >62.84.100.160:61893 >lavr sshd 1831 > 7 tcp4 159.93.44.57:2022 > 62.84.100.160:53247 >root sshd 1829 > 7 tcp4 159.93.44.57:2022 > 62.84.100.160:53247 >lavr sshd 1810 > 7 tcp4 159.93.44.57:2022 > 62.84.100.160:58906 >root sshd 1808 > 7 tcp4 159.93.44.57:2022 > 62.84.100.160:58906 >lavr sshd 1789 > 7 tcp4 159.93.44.57:2022 > 62.84.100.160:50346 >root sshd 1787 > 7 tcp4 159.93.44.57:2022 > 62.84.100.160:50346 >root sshd >134 4 tcp4 :2022 > > :* >root sshd >134 3 tcp46 :2022 > > :* >[unix1]~ > > >его использует sshd > >или занято устройство /dev/dsp (музыка не запускается): > >[alone]~ > lsof /dev/dsp0.0 >lsof: WARNING: compiled for FreeBSD release 5.3-RELEASE-p1; this is 5.3-RELEASE-p5. >COMMAND PID USER FD TYPE DEVICE > SIZE/OFF NODE NAME >esd 29768 lavr 7w >VCHR 30,3 0t4575232 110 /dev/dsp0.0 >[alone]~ > > >занято esd (esound сервером) Rootkit Hunter еубу поможет http://www.rootkit.nl
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх