Главная :: Форум :: Установка и настройка :: Различные вопросы

Троян в системе

Wander - 30 Май, 2009 - 14:13
Изображение пользователя Wander.

Просканировав порты в системе - Nmap обнаружил неизвестный открытый tcp порт.
Немного покопавшись в доках - нашел как определить кто/что использует этот порт.

В конечном итоге - все сошлось к тому, что в системе сидит троян.
Klamav ничего не нашел.
"Умные" люди говорят, что самый простой способ в линуксе избавиться от трояна - это переустановить всю систему.
Но мне че-то не очень хочется все сносить.

Может кто-нить может посоветовать нечто более разумное чем сносить всю систему ???

Спасибо за помощь.!!!

Настройки рабочего стола [РЕШЕНО] Как поправить?
0
Ockonal - 30 Май, 2009 - 15:36
Изображение пользователя Ockonal.

А просто закрыть порт?

0
Wander - 30 Май, 2009 - 16:44
Изображение пользователя Wander.

Как закрыть то ???????

0
Ockonal - 30 Май, 2009 - 17:10
Изображение пользователя Ockonal.

Google answers

0
Soi-Fong - 30 Май, 2009 - 17:10
Изображение пользователя Soi-Fong.

Просканировав порты в системе - Nmap обнаружил неизвестный открытый tcp порт.какой порт?Немного покопавшись в доках - нашел как определить кто/что использует этот порт.и кто же его использует?

на темы типа "у меня что-то не так, что мне делать?" никто не сможет помочь

0
lohmat - 30 Май, 2009 - 17:29
Изображение пользователя lohmat.

Интересно-интересно чего же это за троян??
Nmap обнаружил неизвестный открытый tcp порт.

Вообще, по умолчанию файрвол отключен... а значит все порты открыты, но совсем не страшно, если нет програм, которые их используют...

0
Soi-Fong - 30 Май, 2009 - 20:06
Изображение пользователя Soi-Fong.

под открытым портом подразумевается порт, который слушается каким-то процессом

0
Wander - 30 Май, 2009 - 20:42
Изображение пользователя Wander.

nmap :

PORT STATE SERVICE
21/tcp closed ftp
23/tcp open telnet
80/tcp open http
5431/tcp open unknown

В принципе, это только предположение (но раньше никогда не замечал таких неизвестных портов), а сделал я его из этой статьи.

А тему создал, чтоб подтвердить или опровергнуть помогли это предположение.

С уважением.

0
AlexU - 31 Май, 2009 - 00:36

Так все-таки, что за программа открыла порт? Может она вполне легальная...
что выдает netstat -anutp ?

0
Soi-Fong - 31 Май, 2009 - 00:37
Изображение пользователя Soi-Fong.

Немного погуглив на счет номера порта, выяснил, что он как-то используется для организации upnp. Отсюда вопросы:
1. что за соединение с инетом, через роутер?
2. nmap-ом сканил localhost, внутрисетевой (который выдал роутер) или внешний адрес?

0
lohmat - 31 Май, 2009 - 01:08
Изображение пользователя lohmat.

Немного погуглив на счет номера порта, выяснил, что он как-то используется для организации upnp.
Видел галочку UPnP в настройках торрент клиента...

0
Ockonal - 31 Май, 2009 - 08:59
Изображение пользователя Ockonal.

Это ещё ничего не говорит...

0
lohmat - 31 Май, 2009 - 09:46
Изображение пользователя lohmat.

Согласен, это намек на то, что нужно проверить, может чего в фоне висит - торрент клиент, p2p всякие... Посмотреть их настройки...

0
Mike - 31 Май, 2009 - 14:29
Изображение пользователя Mike.

если дружишь с IPTables, можешь порубить этот порт иптаблей. Точную команду тебе не даю, потому как сам с иптаблей дружу исключительно теоретически.

0
Ockonal - 31 Май, 2009 - 15:19
Изображение пользователя Ockonal.

По ссылке, что я дал выше, информация о том, как с помощью iptables блокировать порты...

0
balamutick - 2 Июнь, 2009 - 16:08
Изображение пользователя balamutick.

iptables -t filter -A INPUT -i eth0 -p tcp --dport 21 -j DROP
Где вместо 21 - номер порта, который надо блокировать ?

Отправить комментарий

CAPTCHA на основе изображений
Введите цифры
Вернуться назад | Новое на сайте | Блоги | Форум | Подшивка | Опросы |