Ситуация такая. В нете сидит сервак под Linux-ом.
# uname -a
Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 unknown unknown GNU/Linux
Естественно фунциклирует iptables. Сервак используется как DNS и WEB.
посему на нем открыты только 53 порт для UDP и 22,80 для TCP. На все остальное DROP.
Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я получил отчет о том, что у меня слушается 110 порт, и более того, на нем сидит сфот с потенциальной дыркой...
telnet ns.myserver.ru 110
подключается, а потом отваливается по таймауту.
# netsat -nap | grep tcp | grep 110
выдает пустую строку. т.е. активного сервиса нет.
как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится удаленно и к ней нет никакого доступа). Но, никакой посторонней активности я не обнаружил.
более того, даже несмотря на то, что у меня и так стоит политика DROP, я прописал отдельно правило для того, чтобы все пакеты приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил правило, чтобы все соединения на 110 порт логировались (но увы и ах, это тоже не дало никакой информации).
Внимание вопрос...
ЧТО ЭТО МОЖЕТ БЫТЬ?