- This topic has 9 hozzászólás, 4 résztvevő, and was last updated 19 years, 6 months telt el by
.
-
Bejegyzés
-
Régebben én is vívódtam hasonló prblémákkal, azóta sem tudom megnyugtatóan mi-mi is volt igazából
saynos wrote:Udv :unsure:chkrootkit kimenete:
…
Checking `bindshell’… INFECTED (PORTS: 600)
…saynos:/home/say# lsof -i :600
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 1693 root 4u IPv4 5137 UDP *:600Ez mi lehet?
Koszonom!
Udv: Saynos
hát pl.:
bindshell binds a root shell to a port (port 31337 by default).ds wrote:saynos wrote:Udv :unsure:chkrootkit kimenete:
…
Checking `bindshell’… INFECTED (PORTS: 600)
…saynos:/home/say# lsof -i :600
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 1693 root 4u IPv4 5137 UDP *:600Ez mi lehet?
Koszonom!
Udv: Saynos
hát pl.:
bindshell binds a root shell to a port (port 31337 by default).Haaat en ebbol nem sokat ertek… Amugy rkhunter nem talalt semmit
lehet az is hogy false pozitiv, persze
a bindshell egy root shellt tesz elérhetõvé, ha jól látom a chkrootkit szerint a 600-as udp portonIgen ez tiszta, csak azt nem ertem:
saynos:/home/say# fuser 600/udp
600/udp:saynos:/home/say# fuser 600/tcp
600/tcp:Akkor mi lehet?
saynos wrote:Igen ez tiszta, csak azt nem ertem:saynos:/home/say# fuser 600/udp
600/udp:saynos:/home/say# fuser 600/tcp
600/tcp:Akkor mi lehet?
ez így elég gyanús, hogy fuser miért nem jelzi a pidet….
egy biztosan jó és azonos verziószámú csomagból „szedd ki” az rpc.statd -t és cmp orig suspected 🙂 ha van eltérés akkor nyilván gond van, ha nincs akkor még mindig lehet, de nem itt vandebianon nem tudom de talán ez segít:
[root@darkside ~]# rpm -qf $(which rpc.statd)
nfs-utils-1.0.7-12.FC4Very-very erdekes. Nalam az nfs-common csomag tartalmazta az rpc.statd -t.
apt-get remove nfs-common –purge utan:Checking `bindshell’… not infected
Nos ezek szerint ez egy false pozitiv.
Hat ez van 🙂 Koszi a Helpet!
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz