URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 54952
[ Назад ]
Исходное сообщение
"Вопрос по rootkits в FreeBSD"
Отправлено Atos , 29-Мрт-05 14:15 
Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
Установил chkrootkit проверил, благо ничего он не нашел.
Но вот запустил:
nmap -v -P0 -sU -sT -p 1-65535 ip_addr
И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
Не видны.
Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?
Содержание
Сообщения в этом обсуждении
"Вопрос по rootkits в FreeBSD"
Отправлено Alexander Grigoriev , 29-Мрт-05 14:32 
>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
>Установил chkrootkit проверил, благо ничего он не нашел.
>Но вот запустил:
>nmap -v -P0 -sU -sT -p 1-65535 ip_addr
>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
>
>Не видны.

Должно быть видно.

>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?

sockstat

"Вопрос по rootkits в FreeBSD"
Отправлено lavr , 29-Мрт-05 14:35 
>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
>Установил chkrootkit проверил, благо ничего он не нашел.
>Но вот запустил:
>nmap -v -P0 -sU -sT -p 1-65535 ip_addr
>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
>
>Не видны.
>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?

sockstat или lsof из портов

например:

[unix1]~ > nmap -v localhost
...
(The 1642 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
443/tcp  open  https
762/tcp  open  quotad
910/tcp  open  unknown
993/tcp  open  imaps
995/tcp  open  pop3s
1517/tcp open  vpac
2022/tcp open  down
2049/tcp open  nfs
3306/tcp open  mysql
8080/tcp open  http-proxy

Nmap run completed -- 1 IP address (1 host up) scanned in 23.597 seconds
[unix1]~ >

допустим порт 2022/tcp неизвестен:

[unix1]~ > sockstat | grep 2022
lavr     sshd     23320    7 tcp4   159.93.44.57:2022     62.84.100.160:60403  
root     sshd     23318    7 tcp4   159.93.44.57:2022     62.84.100.160:60403  
lavr     sshd     16367    7 tcp4   159.93.44.57:2022     62.84.100.160:61893  
root     sshd     16365    7 tcp4   159.93.44.57:2022     62.84.100.160:61893  
lavr     sshd      1831    7 tcp4   159.93.44.57:2022     62.84.100.160:53247  
root     sshd      1829    7 tcp4   159.93.44.57:2022     62.84.100.160:53247  
lavr     sshd      1810    7 tcp4   159.93.44.57:2022     62.84.100.160:58906  
root     sshd      1808    7 tcp4   159.93.44.57:2022     62.84.100.160:58906  
lavr     sshd      1789    7 tcp4   159.93.44.57:2022     62.84.100.160:50346  
root     sshd      1787    7 tcp4   159.93.44.57:2022     62.84.100.160:50346  
root     sshd       134    4 tcp4   *:2022                *:*                  
root     sshd       134    3 tcp46  *:2022                *:*                  
[unix1]~ >

его использует sshd

или занято устройство /dev/dsp (музыка не запускается):

[alone]~ > lsof /dev/dsp0.0
lsof: WARNING: compiled for FreeBSD release 5.3-RELEASE-p1; this is 5.3-RELEASE-p5.
COMMAND   PID USER   FD   TYPE DEVICE  SIZE/OFF NODE NAME
esd     29768 lavr    7w  VCHR   30,3 0t4575232  110 /dev/dsp0.0
[alone]~ >

занято esd (esound сервером)

"Вопрос по rootkits в FreeBSD"
Отправлено Hamm , 31-Мрт-05 08:31 
>>Недавно прочитал статью о rootkits и решил проверить свою машину(FreeBsd 4.8)
>>Установил chkrootkit проверил, благо ничего он не нашел.
>>Но вот запустил:
>>nmap -v -P0 -sU -sT -p 1-65535 ip_addr
>>И увидел два прослушивающихся порта, которые при просмотре с помощью netstat -an
>>
>>Не видны.
>>Из сего возникает вопрос: как узнать какая програма прослушивает определенный порт?
>
>sockstat или lsof из портов
>
>например:
>
>[unix1]~ > nmap -v localhost
>...
>(The 1642 ports scanned but not shown below are in state: closed)
>
>PORT     STATE SERVICE
>21/tcp   open  ftp
>22/tcp   open  ssh
>25/tcp   open  smtp
>53/tcp   open  domain
>80/tcp   open  http
>110/tcp  open  pop3
>111/tcp  open  rpcbind
>143/tcp  open  imap
>443/tcp  open  https
>762/tcp  open  quotad
>910/tcp  open  unknown
>993/tcp  open  imaps
>995/tcp  open  pop3s
>1517/tcp open  vpac
>2022/tcp open  down
>2049/tcp open  nfs
>3306/tcp open  mysql
>8080/tcp open  http-proxy
>
>Nmap run completed -- 1 IP address (1 host up) scanned in
>23.597 seconds
>[unix1]~ >
>
>допустим порт 2022/tcp неизвестен:
>
>[unix1]~ > sockstat | grep 2022
>lavr     sshd     23320  
>  7 tcp4   159.93.44.57:2022    
>62.84.100.160:60403
>root     sshd     23318  
>  7 tcp4   159.93.44.57:2022    
>62.84.100.160:60403
>lavr     sshd     16367  
>  7 tcp4   159.93.44.57:2022    
>62.84.100.160:61893
>root     sshd     16365  
>  7 tcp4   159.93.44.57:2022    
>62.84.100.160:61893
>lavr     sshd      1831
>   7 tcp4   159.93.44.57:2022    
> 62.84.100.160:53247
>root     sshd      1829
>   7 tcp4   159.93.44.57:2022    
> 62.84.100.160:53247
>lavr     sshd      1810
>   7 tcp4   159.93.44.57:2022    
> 62.84.100.160:58906
>root     sshd      1808
>   7 tcp4   159.93.44.57:2022    
> 62.84.100.160:58906
>lavr     sshd      1789
>   7 tcp4   159.93.44.57:2022    
> 62.84.100.160:50346
>root     sshd      1787
>   7 tcp4   159.93.44.57:2022    
> 62.84.100.160:50346
>root     sshd      
>134    4 tcp4   *:2022  
>          
>  *:*
>root     sshd      
>134    3 tcp46  *:2022    
>          
> *:*
>[unix1]~ >
>
>его использует sshd
>
>или занято устройство /dev/dsp (музыка не запускается):
>
>[alone]~ > lsof /dev/dsp0.0
>lsof: WARNING: compiled for FreeBSD release 5.3-RELEASE-p1; this is 5.3-RELEASE-p5.
>COMMAND   PID USER   FD   TYPE DEVICE
> SIZE/OFF NODE NAME
>esd     29768 lavr    7w  
>VCHR   30,3 0t4575232  110 /dev/dsp0.0
>[alone]~ >
>
>занято esd (esound сервером)


Rootkit Hunter еубу поможет http://www.rootkit.nl