URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82614
[ Назад ]
Исходное сообщение
"Как узнать какая программа открыла порт?!"
Отправлено Новичок , 28-Окт-08 22:11 
Здравствуйте.
Прошу помочь
система Gentoo 2008

netstat -anp
...
...
tcp        0      0 0.0.0.0:50432           0.0.0.0:*               LISTEN     -
...

Вижу что открыт порт 50432

lsof -i | grep 50432
Пусто?

Как узнать какая программа открыла порт?!

Содержание
Сообщения в этом обсуждении
"может быть"
Отправлено Andrey Mitrofanov , 28-Окт-08 22:28 
>lsof -i | grep 50432
>Пусто?

А то же самое под root-ом?

"Как узнать какая программа открыла порт?!"
Отправлено daevy , 29-Окт-08 06:34 

>Как узнать какая программа открыла порт?!

в man netstat/netstat -h написано:
-p, --programs           display PID/Program name for sockets

дерайте))

"Как узнать какая программа открыла порт?!"
Отправлено Новичок , 29-Окт-08 11:01 
Я выполнял команды из под root.

netstat -anp
...
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     25846/exim
tcp        0      0 0.0.0.0:50432           0.0.0.0:*               LISTEN     -
...

Видно что exim определил а вот какая программа открыла 50432???
>
>>Как узнать какая программа открыла порт?!
>
>в man netstat/netstat -h написано:
>-p, --programs          
>display PID/Program name for sockets
>
>дерайте))

"Как узнать какая программа открыла порт?!"
Отправлено Новичок , 30-Окт-08 16:15 
Прошу помочь?


"Как узнать какая программа открыла порт?!"
Отправлено djaarf , 30-Окт-08 16:52 
>Прошу помочь?

Глупо конечно звучит, а вы уверены что от рута запускали netstat?

"Как узнать какая программа открыла порт?!"
Отправлено Новичок , 31-Окт-08 17:03 
>Глупо конечно звучит, а вы уверены что от рута запускали netstat?

Да конечно от рута!

"Как узнать какая программа открыла порт?!"
Отправлено s_dog , 31-Окт-08 18:12 
>>Глупо конечно звучит, а вы уверены что от рута запускали netstat?
>
>Да конечно от рута!

может тебя хакнули?

"Как узнать какая программа открыла порт?!"
Отправлено Новичок , 02-Ноя-08 17:52 
>может тебя хакнули?

Да в полне возможно, все указываетна это!

Хотя chrootkit не показывает, что хакнули.
Нужен план действий.
Прошу помочь рекомендациями!

"Как узнать какая программа открыла порт?!"
Отправлено ws , 03-Ноя-08 13:56 
>>может тебя хакнули?
>
>Да в полне возможно, все указываетна это!
>
>Хотя chrootkit не показывает, что хакнули.
>Нужен план действий.
>Прошу помочь рекомендациями!

спокойно! Без паники!
Это может открываться порты самим ядром, например, службы RPC для NFS.

Комады тебе ничего не покажут:
lsof -i tcp:50432
fuser -v -n tcp 50432

А вот это выдаст, что-то если используешь nfs
rpcinfo -p 127.0.0.1

ps: Что бы ломануть и спрятать имя программы, крякеру нужно править программы сетевых утилит или самого ядра. Ты же в генту сидишь - пересобери(откатись на версию ниже если нужно) нужные порты и ядро и все встанет ясно!

"Как узнать какая программа открыла порт?!"
Отправлено Новичок , 03-Ноя-08 14:29 
>ps: Что бы ломануть и спрятать имя программы, крякеру нужно править программы
>сетевых утилит или самого ядра. Ты же в генту сидишь -
>пересобери(откатись на версию ниже если нужно) нужные порты и ядро и
>все встанет ясно!

Спасибо, Да система Gentoo, но сервак удаленный и пока не налажены контакты чтобы если что пойдет не так этот сервер рестартануть и откатить назад.
Спасибо еще раз, буду думать, читать документацию и налаживать контакты!