форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение		[ Отслеживать ]

"Открытый порт после взлома"		+/–
Сообщение от Nikita Rukavkov on 06-Май-10, 17:47
Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn | grep :21 ничего не выдает. Система взламывалась, от чего смог вычистил - а эту заразу не могу найти. Как можно обнаружить что висит на порту?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Открытый порт после взлома"		+/–
Сообщение от теоретик on 07-Май-10, 14:37
Скачай новое ядро и загрузись с него. Скорей всего тебе модуль ядра хитрый подгрузили. Ну или тупо пропатчили утилиту netstat - её тоже проапгрейди.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Открытый порт после взлома"		+/–
Сообщение от Nimdar (ok) on 07-Май-10, 14:48
>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn >| grep :21 ничего не выдает. Система взламывалась, от чего смог >вычистил - а эту заразу не могу найти. Как можно обнаружить >что висит на порту? ps ax |grep inetd или ps ax |grep xinetd
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Открытый порт после взлома"		+/–
	Сообщение от Nikita Rukavkov on 07-Май-10, 15:17
	>>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn >>| grep :21 ничего не выдает. Система взламывалась, от чего смог >>вычистил - а эту заразу не могу найти. Как можно обнаружить >>что висит на порту? > >ps ax |grep inetd >или >ps ax |grep xinetd Простите не понял, что покажет мне вывод. В inetd.conf ничего подозрительного
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Открытый порт после взлома"		+/–
	Сообщение от Nimdar (ok) on 07-Май-10, 15:34
	>>>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn >>>| grep :21 ничего не выдает. Система взламывалась, от чего смог >>>вычистил - а эту заразу не могу найти. Как можно обнаружить >>>что висит на порту? >> >>ps ax |grep inetd >>или >>ps ax |grep xinetd > >Простите не понял, что покажет мне вывод. В inetd.conf ничего подозрительного Таким образом хотел обратить внимание, что порт может открываться этими демонами (в этом случае netstat открытый порт не показывает). И если в процессах один из них висит - надо смотреть его конфиги.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Открытый порт после взлома"		+/–
	Сообщение от теоретик on 07-Май-10, 18:39
	>этом случае netstat открытый порт не показывает). бред
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Открытый порт после взлома"		+/–
	Сообщение от Nimdar (ok) on 07-Май-10, 19:04
	>>этом случае netstat открытый порт не показывает). > >бред Специально для вас. # uname -sr FreeBSD 7.3-RELEASE # ps ax|grep inetd 40860  ??  Is     0:00.00 /usr/sbin/inetd # grep -v \# /etc/inetd.conf telnet  stream  tcp     nowait  root    /usr/libexec/telnetd    telnetd # telnet localhost 23 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. telnet> q Connection closed. # netstat -anl | grep :23 #
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Открытый порт после взлома"		+/–
	Сообщение от аноним on 07-Май-10, 20:13
	>>>этом случае netstat открытый порт не показывает). >>бред >Специально для вас. ># uname -sr >FreeBSD 7.3-RELEASE ... ># netstat -anl | grep :23 ># ЭПИЧЕСКИЙ ПРИДУРОК! :) Убери пайп с grep'ом и посмотри _как_ оно выдаёт инфу :) Для тех у кого нет доступа - оно выдаёт в классическом виде - ip1.ip2.ip3.ip4.port а не в вебовом ip1.ip2.ip3.ip4:port ....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Открытый порт после взлома"		+/–
	Сообщение от lavr on 07-Май-10, 21:48
	>[оверквотинг удален] >... >># netstat -anl | grep :23 >># > >ЭПИЧЕСКИЙ ПРИДУРОК! :) > >Убери пайп с grep'ом и посмотри _как_ оно выдаёт инфу :) > >Для тех у кого нет доступа - оно выдаёт в классическом виде >- ip1.ip2.ip3.ip4.port а не в вебовом ip1.ip2.ip3.ip4:port .... вы для начала на кошках потренируйтесь, чтобы бред и глупости на весь форум не писать, развелось неучей, "теоретик"и, анонимы...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Открытый порт после взлома"		+/–
	Сообщение от теоретик on 08-Май-10, 04:02
	>вы для начала на кошках потренируйтесь, чтобы бред и глупости на весь >форум не писать, развелось неучей, "теоретик"и, анонимы... # netstat -anl | grep :37 tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN # netstat -tuwapn |grep inetd tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN      11931/xinetd # cat /etc/debian_version 5.0 # netstat --version net-tools 1.60 netstat 1.42 (2001-04-15) Fred Baumgarten, Alan Cox, Bernd Eckenfels, Phil Blundell, Tuan Hoang and others +NEW_ADDRT +RTF_IRTT +RTF_REJECT +FW_MASQUERADE +I18N AF: (inet) +UNIX +INET +INET6 +IPX +AX25 +NETROM +X25 +ATALK +ECONET +ROSE HW:  +ETHER +ARC +SLIP +PPP +TUNNEL +TR +AX25 +NETROM +X25 +FR +ROSE +ASH +SIT +FDDI +HIPPI +HDLC/LAPB +EUI64 Тут либо в BSD какой-то слишком хитрый netstat, либо я вообще не понимаю - какое нафиг нетстату дело кто именно открыл порт? Может быть фаервол форвардит пакеты на :23 на какой другой порт? Или тебя тоже поломали давно, а ты и не в курсе? :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Открытый порт после взлома"		+/–
	Сообщение от Hate (ok) on 08-Май-10, 07:30
	>[оверквотинг удален] >AF: (inet) +UNIX +INET +INET6 +IPX +AX25 +NETROM +X25 +ATALK +ECONET +ROSE > >HW:  +ETHER +ARC +SLIP +PPP +TUNNEL +TR +AX25 +NETROM +X25 +FR >+ROSE +ASH +SIT +FDDI +HIPPI +HDLC/LAPB +EUI64 > >Тут либо в BSD какой-то слишком хитрый netstat, либо я вообще не >понимаю - какое нафиг нетстату дело кто именно открыл порт? >Может быть фаервол форвардит пакеты на :23 на какой другой порт? Или >тебя тоже поломали давно, а ты и не в курсе? :) > Ну человек насчет вывода во фре прав. # uname -sr FreeBSD 8.0-STABLE # netstat -anl | egrep 1.53 tcp4       0      0 127.0.0.1.53           *.*                    LISTEN tcp4       0      0 192.168.15.1.53       *.*                    LISTEN udp4       0      0 127.0.0.1.53           *.*                           udp4       0      0 192.168.15.1.53       *.*
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Открытый порт после взлома"		+/–
	Сообщение от аноним on 10-Май-10, 21:21
	>>Убери пайп с grep'ом и посмотри _как_ оно выдаёт инфу :) >>Для тех у кого нет доступа - оно выдаёт в классическом виде >>- ip1.ip2.ip3.ip4.port а не в вебовом ip1.ip2.ip3.ip4:port .... > >вы для начала на кошках потренируйтесь, чтобы бред и глупости на весь >форум не писать, развелось неучей, "теоретик"и, анонимы... А ты точно lavr? Тот вроде про фряху не только слышал ... :) В общем залогинься на любую да и проверь ...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Открытый порт после взлома"		+/–
Сообщение от sHaggY_caT (ok) on 09-Май-10, 15:38
>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn >| grep :21 ничего не выдает. Система взламывалась, от чего смог >вычистил - а эту заразу не могу найти. Как можно обнаружить >что висит на порту? По-моему, Вы занимаетесь тем, чем заниматься нельзя... В нашей практике были взломы систем у новых клиентов (в таком они виде к нам приходили), и мы _никогда_ не пытались вычистить систему от взлома: только пересетап сервера с нуля. корень взломанной системы тарится, и разворачивается в виртуальной машине без доступа во внешний мир, и используется _только_ для изучения способов взлома системы, и потенциальных дыр в Ваших конфигах! При этом Вы должны исключить на 100% вероятность того, что взломщик будет сидеть вместе с Вами в шелле на виртуалке, и издеваться, когда Вы будете изучать взломанную ОС! Заказать сервер в Европе, для временной замены этого, можно за несколько часов. Пожалуйста, не давайте повода кракеру издеваться над Вами и смеяться, не используйте скомпроментированную систему, так как Вы уже никогда не сможете гарантировать ее "чистоту", и того, что вычистив десять троянов, не найдется одиннадцатый, который кракер оставил на самый последний случай, и которым воспользуется только через год-два, когда Ваша бдительность будет совсем усыплена!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема