* Re: [Comm] Странные сервисы
2004-12-06 10:15 ` Michael Isachenkov
@ 2004-12-06 9:51 ` Aleksander N. Gorohovski
2004-12-06 10:37 ` Igor Tertishny
1 sibling, 0 replies; 9+ messages in thread
From: Aleksander N. Gorohovski @ 2004-12-06 9:51 UTC (permalink / raw)
To: community
On Mon, 6 Dec 2004 13:15:05 +0300, Michael Isachenkov <vikerness@mail.ru>
wrote:
> netstat -nlp многое прояснит.
>
>>> Все добрый день! Проверил своей совсем свежий главный сервер на
>>> Мастере 2.4 с
>> помощью nmap и несколько удивился. Похоже, что у меня сидит что-то типа
>> трояна. Два дня назад взломали и испоганили форум, так может еще что
>> подсадили? nmap выдает:
>> ...
>> 139/tcp open netbios-ssn
>> 389/tcp open ldap
>> 445/tcp open microsoft-ds
>> 783/tcp open hp-alarm-mgr - spamd, насколько я понимаю
>> 799/tcp open controlit - неясно, в /etc/serviсes отсутствует
>> 831/tcp open unknown - неясно
>> 953/tcp open rndc
>> 993/tcp open imaps
>> 2049/tcp open nfs
>> 3306/tcp open mysql
>> 8888/tcp open sun-answerbook - а вот что это?
>> 32770/tcp open sometimes-rpc3 - и это?
У Вас случайно sometimes-rpc3 это не
rpc.mountd
?
>> Похоже, что последние явно лишние, я перерыл все свои сервисы и
>> подобных вещей
>> не нашел. Я их точно не загружал. Может кто знает, что оно такое? И если
>> троян или вирус, то как с ним бороться?
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Странные сервисы
@ 2004-12-06 10:08 Igor Tertishny
2004-12-06 10:15 ` Michael Isachenkov
2004-12-06 10:23 ` Stanislav Yadykin
0 siblings, 2 replies; 9+ messages in thread
From: Igor Tertishny @ 2004-12-06 10:08 UTC (permalink / raw)
To: community
Все добрый день! Проверил своей совсем свежий главный сервер на Мастере 2.4 с
помощью nmap и несколько удивился. Похоже, что у меня сидит что-то типа
трояна. Два дня назад взломали и испоганили форум, так может еще что
подсадили? nmap выдает:
...
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
783/tcp open hp-alarm-mgr - spamd, насколько я понимаю
799/tcp open controlit - неясно, в /etc/serviсes отсутствует
831/tcp open unknown - неясно
953/tcp open rndc
993/tcp open imaps
2049/tcp open nfs
3306/tcp open mysql
8888/tcp open sun-answerbook - а вот что это?
32770/tcp open sometimes-rpc3 - и это?
Похоже, что последние явно лишние, я перерыл все свои сервисы и подобных вещей
не нашел. Я их точно не загружал. Может кто знает, что оно такое? И если
троян или вирус, то как с ним бороться?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Странные сервисы
2004-12-06 10:08 [Comm] Странные сервисы Igor Tertishny
@ 2004-12-06 10:15 ` Michael Isachenkov
2004-12-06 9:51 ` Aleksander N. Gorohovski
2004-12-06 10:37 ` Igor Tertishny
2004-12-06 10:23 ` Stanislav Yadykin
1 sibling, 2 replies; 9+ messages in thread
From: Michael Isachenkov @ 2004-12-06 10:15 UTC (permalink / raw)
To: community
netstat -nlp многое прояснит.
>> Все добрый день! Проверил своей совсем свежий главный сервер на Мастере 2.4 с
> помощью nmap и несколько удивился. Похоже, что у меня сидит что-то типа
> трояна. Два дня назад взломали и испоганили форум, так может еще что
> подсадили? nmap выдает:
> ...
> 139/tcp open netbios-ssn
> 389/tcp open ldap
> 445/tcp open microsoft-ds
> 783/tcp open hp-alarm-mgr - spamd, насколько я понимаю
> 799/tcp open controlit - неясно, в /etc/serviсes отсутствует
> 831/tcp open unknown - неясно
> 953/tcp open rndc
> 993/tcp open imaps
> 2049/tcp open nfs
> 3306/tcp open mysql
> 8888/tcp open sun-answerbook - а вот что это?
> 32770/tcp open sometimes-rpc3 - и это?
>
> Похоже, что последние явно лишние, я перерыл все свои сервисы и подобных вещей
> не нашел. Я их точно не загружал. Может кто знает, что оно такое? И если
> троян или вирус, то как с ним бороться?
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
>
--
Best regards, Michael Isachenkov
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Странные сервисы
2004-12-06 10:08 [Comm] Странные сервисы Igor Tertishny
2004-12-06 10:15 ` Michael Isachenkov
@ 2004-12-06 10:23 ` Stanislav Yadykin
2004-12-06 10:31 ` Alexey I. Froloff
1 sibling, 1 reply; 9+ messages in thread
From: Stanislav Yadykin @ 2004-12-06 10:23 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 590 bytes --]
В сообщении от Понедельник, 06-Дек-2004 12:08 Igor Tertishny написал(a):
> Похоже, что последние явно лишние, я перерыл все свои сервисы и подобных
> вещей не нашел. Я их точно не загружал. Может кто знает, что оно такое? И
> если троян или вирус, то как с ним бороться?
Для начала посмотреть какие процессы держат открытыми эти порты. Смотреть при
помощи
fuser -n [tcp|udp] portnum
Потом как обычно - kill ... и потом проверка целостности системы при помощи
rpm --verify `rpm -qa`
Потом искать в инитскриптах откуда запускаются бяки (если есть)
--
Stanislav Yadykin
ALT Linux Team
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Странные сервисы
2004-12-06 10:23 ` Stanislav Yadykin
@ 2004-12-06 10:31 ` Alexey I. Froloff
0 siblings, 0 replies; 9+ messages in thread
From: Alexey I. Froloff @ 2004-12-06 10:31 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 329 bytes --]
* Stanislav Yadykin <tosick@> [041206 13:24]:
> rpm --verify `rpm -qa`
$SHELL: argument list too long
rpm -Va
--
Regards, Sir Raorn.
-------------------
> Вы хотели фриз - так вот он вам и получился ;-)
У нас ведь принято всё делать в последний день.
Вот сейчас ещё python из Дедала положу. :)
-- ldv in devel@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Странные сервисы
2004-12-06 10:15 ` Michael Isachenkov
2004-12-06 9:51 ` Aleksander N. Gorohovski
@ 2004-12-06 10:37 ` Igor Tertishny
2004-12-06 11:12 ` Alexey Morsov
` (2 more replies)
1 sibling, 3 replies; 9+ messages in thread
From: Igor Tertishny @ 2004-12-06 10:37 UTC (permalink / raw)
To: community
Понедельник 06 Декабрь 2004 12:15, Michael Isachenkov написал:
> netstat -nlp
tcp 0 0 0.0.0.0:8888 0.0.0.0:* LISTEN
6159/httpd
К веб-серверу, значит... Сейчас посмотрю на /etc/httpd/conf/httpd.conf/ Понял,
отключил. Модуль midgard. Значит, все в порядке здесь. Извиняюсь, но после
взлома я сам не свой...
tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN
4712/rpc.statd
tcp 0 0 0.0.0.0:32770 0.0.0.0:* LISTEN
-
По поводу второго вообще неясно. Что-то связанное с rpc. Но что? После взлома
форума я лихорадочно пытаюсь выстроить более защищенную систему, но пока
что-то не очень получается...
Может кто подскажет, как закрывать в iptables конкретные порты от доступа из
интернета? Наглухо, чтобы только пользователи локальной сети до них
дотянуться могли? Но опять же, вряд ли поможет. Взломали-то через веб-сервер,
а 80 порт все равно придется держать открытым... Но хотя бы базы данных
закрою.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Странные сервисы
2004-12-06 10:37 ` Igor Tertishny
@ 2004-12-06 11:12 ` Alexey Morsov
2004-12-06 11:31 ` [Comm] " Michael Shigorin
2004-12-06 12:01 ` [Comm] " Denis G. Samsonenko
2 siblings, 0 replies; 9+ messages in thread
From: Alexey Morsov @ 2004-12-06 11:12 UTC (permalink / raw)
To: community
Igor Tertishny wrote:
>Понедельник 06 Декабрь 2004 12:15, Michael Isachenkov написал:
>
>
>>netstat -nlp
>>
>>
>tcp 0 0 0.0.0.0:8888 0.0.0.0:* LISTEN
>6159/httpd
>
>К веб-серверу, значит... Сейчас посмотрю на /etc/httpd/conf/httpd.conf/ Понял,
>отключил. Модуль midgard. Значит, все в порядке здесь. Извиняюсь, но после
>взлома я сам не свой...
>
>tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN
>4712/rpc.statd
>tcp 0 0 0.0.0.0:32770 0.0.0.0:* LISTEN
>-
>
>По поводу второго вообще неясно. Что-то связанное с rpc. Но что? После взлома
>форума я лихорадочно пытаюсь выстроить более защищенную систему, но пока
>что-то не очень получается...
>
>Может кто подскажет, как закрывать в iptables конкретные порты от доступа из
>интернета? Наглухо, чтобы только пользователи локальной сети до них
>
>
iptables -P INPUT DROP
iptables -A INPUT <правила для доступа к 80, 443 портам извне>
iptables -A INPUT <правила для доступа ко всему из своей сетки>
>дотянуться могли? Но опять же, вряд ли поможет. Взломали-то через веб-сервер,
>а 80 порт все равно придется держать открытым... Но хотя бы базы данных
>
>
И что 80? Апач тут не причем - у него в системе самые низкие права - как
у nobody...
Вопрос к настройкам безопасности вашей БД (например неплохо бы запретить
конекты отовсюду кроме localhost и всем кроме nobody и root ессесно) и
соответственно ваших скриптов что на web-крутятся (имеют ли они
возможности что-либо загружать на сервер, делать что-то с БД)
Апач он что - он передал процесс другому и ушел курить ;)
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: Странные сервисы
2004-12-06 10:37 ` Igor Tertishny
2004-12-06 11:12 ` Alexey Morsov
@ 2004-12-06 11:31 ` Michael Shigorin
2004-12-06 12:01 ` [Comm] " Denis G. Samsonenko
2 siblings, 0 replies; 9+ messages in thread
From: Michael Shigorin @ 2004-12-06 11:31 UTC (permalink / raw)
To: community
On Mon, Dec 06, 2004 at 12:37:16PM +0200, Igor Tertishny wrote:
> tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN
> 4712/rpc.statd
locate rpc.statd
нормальный -- в /sbin из nfs-clients (rpm -V nfs-clients и
снести, если NFS не используется)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Странные сервисы
2004-12-06 10:37 ` Igor Tertishny
2004-12-06 11:12 ` Alexey Morsov
2004-12-06 11:31 ` [Comm] " Michael Shigorin
@ 2004-12-06 12:01 ` Denis G. Samsonenko
2 siblings, 0 replies; 9+ messages in thread
From: Denis G. Samsonenko @ 2004-12-06 12:01 UTC (permalink / raw)
To: community
Hi!
Igor Tertishny пишет:
> Может кто подскажет, как закрывать в iptables конкретные порты от доступа из
> интернета? Наглухо, чтобы только пользователи локальной сети до них
> дотянуться могли? Но опять же, вряд ли поможет. Взломали-то через веб-сервер,
> а 80 порт все равно придется держать открытым... Но хотя бы базы данных
> закрою.
Лучше закрыть вообще всё, а открыть только то, что надо. Т.е. по
принципу: что не разрешено, то запрешено.
Вот тут есть неплохое рукуводство по iptables:
http://www.opennet.ru/docs/RUS/iptables/
Сам когда-то его читал, чтобы firewall себе настроить.
--
Всего доброго,
Денис.
---------------
earthsea@ngs.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2004-12-06 12:01 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-12-06 10:08 [Comm] Странные сервисы Igor Tertishny
2004-12-06 10:15 ` Michael Isachenkov
2004-12-06 9:51 ` Aleksander N. Gorohovski
2004-12-06 10:37 ` Igor Tertishny
2004-12-06 11:12 ` Alexey Morsov
2004-12-06 11:31 ` [Comm] " Michael Shigorin
2004-12-06 12:01 ` [Comm] " Denis G. Samsonenko
2004-12-06 10:23 ` Stanislav Yadykin
2004-12-06 10:31 ` Alexey I. Froloff
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git