Главная » Форум » Gentoo Linux » Системное администрирование

Висит лишний демон SSH на левом порту - как его найти?

Птица Зу 31 Августа, 2007 - 09:16

Всем привет!

После ушедшего админа обнаружили, что на одном из нештатных портов (2005) отвечает ssh. При этом, ps ax | grep ssh ничего не показывает, а наш штатный демон сконфигурирован на доступ из локалки, работает на 22-ом порту и, как правило, отключен.

# grep 2005 `find /etc -type f` ничего не даёт.

Как посмотреть, какой процесс держит этот самый 2005-ый порт?

Я сейчас перекрыл этот порт на фаерволе, но хочется найти отвечающий процесс.

Заранее спасибо!

‹ Общее дерево портов на два сервера в одной сети. Анализатор логов iptables ›
»

Я бы в таком

Автор Anarchist, дата создания 31 Августа, 2007 - 09:29.

Я бы в таком случае попробовал перезагрузить сервер и посмотреть: продолжает ли он слушать.
Если продолжает, то читать лог загрузки и параллельно анализировать стартовые скрипты.

Live free or die

»

netstat --program

Автор winterheart, дата создания 31 Августа, 2007 - 09:45.

netstat --program -ta

_______________________
From Siberia with Love!

»

Нашёл вот что, #

Автор Птица Зу, дата создания 31 Августа, 2007 - 12:52.

Нашёл вот что,

# netstat --program -ta | grep 2007
tcp 0 0 *:2007 *:* LISTEN 1176/ttyload

# grep ttyload `find /etc -type f`
/etc/inittab:0:2345:once:/usr/sbin/ttyload

# cat /usr/sbin/ttyload
/sbin/ttyload -q >/dev/null 2>&1
/sbin/ttymon >/dev/null 2>&1

По-моему, немного не то, т.к. в inittab оно к порту не привязывается.

Когда логинишься, этот зверь выдаёт следующее:

[sh] w.e.l.c.o.m.e
[sh] To The Virtual Reality
[sh] Enjoy and behave !

[denis@SH-crew:/home/denis]#

А не может быть сам ttyload покорёжен?

# file /sbin/ttyload
/sbin/ttyload: ELF 32-bit LSB executable, Intel 80386, version 1 (Linux), statically linkedfile: corrupted section header size.

=-
Навсегда в отрыве, навеки Ваша, Птица Зу

»

:. просто поломали тебе машину

Автор Dmitri, дата создания 31 Августа, 2007 - 13:28.

очень внимательно вкуривай http://blog.gnist.org/article.php?story=HollidayCracking

__
:. Поделись опытом на ru.gentoo-wiki.com или на www.gentoo-wiki.com

»

а не побовал

Автор Daevy, дата создания 31 Августа, 2007 - 13:27.

а не побовал телнетом подключиьтся на этот порт, что покажется?
может ушлый админ подправил исходники ssh? тогда снести и поставить заново;-)
судя по последнему твоему каменту рекомендую поставить chkrootkit и проверить систему на наличие заразы

»

Может тупо порт

Автор miroslav (не зарегистрирован), дата создания 31 Августа, 2007 - 15:33.

Может тупо порт заворачивается:
iptables -t nat -A PREROUTING -p tcp --destination-port 2005 -j REDIRECT --to-port 22
или через DNAT

»

зараза

Автор Dmitri, дата создания 31 Августа, 2007 - 18:21.

систему чистить надо, а не порты заворачивать ...

__
:. Поделись опытом на ru.gentoo-wiki.com или на www.gentoo-wiki.com

»

Блин, у тебя

Автор miroslav2 (не зарегистрирован), дата создания 31 Августа, 2007 - 21:59.

Блин, у тебя мания приследования чтоли, и чтение окончаний храмает?
Убера редирект в iptables и будет тебе счастье. Редирект портов это обычная практика, я к примеру все 65536 портов на прокси заворачиваю, при необходимости через любой прокси или нат смогу к себе подключится, а уже за прокси и ssh есть и все что дуже угодно :)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".