ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] Подозрение на вторжение?
@ 2008-10-14 18:16 Eugine Kosenko
  2008-10-14 18:31 ` Andrey Rahmatullin
  2008-10-15  9:58 ` Michael Shigorin
  0 siblings, 2 replies; 8+ messages in thread
From: Eugine Kosenko @ 2008-10-14 18:16 UTC (permalink / raw)
  To: sysadmins

Система -- ALT Linux Server 4.0

Извиняюсь за, возможно, ламерский вопрос, но недавно был обнаружен
взлом сервера. Кое-что удалось почистить с помощью netstat/lsof, но
даже после этого nmap выдает:

PORT     STATE    SERVICE
135/tcp  filtered msrpc
136/tcp  filtered profile
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
8000/tcp filtered http-alt

Конкретно взлом был обнаружен на порту 8000, соответствующий сервис
был обнаружен через netstat и прибит, результат проверен через telnet.
Теперь ни по этому ни по остальным портам netstat -anp и lsof -i
никакой информации не дают.

Странно и то, что локальный nmap этих портов не показывает, их можно
увидеть только извне.

Вопрос: это особенности, или в системе таки еще живет какая-то
гадость? Если последнее, то что это может быть и как это можно
отловить?

Еще раз извиняюсь за, возможно, глупые вопросы.

^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2008-10-19 16:44 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-10-14 18:16 [Sysadmins] Подозрение на вторжение? Eugine Kosenko
2008-10-14 18:31 ` Andrey Rahmatullin
2008-10-14 18:41   ` Eugine Kosenko
2008-10-14 19:20     ` Andrey Rahmatullin
2008-10-15  9:58 ` Michael Shigorin
2008-10-16 14:20   ` Eugine Kosenko
2008-10-19 14:37     ` Michael Shigorin
2008-10-19 16:44       ` Konstantin A. Lepikhov

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git