Руткит на порт 60001!? Так говорит Тигр - как мне проверить? [closed]
Моя система - последняя версия Ubuntu 13.10
Я установил Tiger и получаю это
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 60001)
Что ?!
Я также пробовал rkhunter: на самом деле ничего не нашел напрямую, вот различные предупреждения
/usr/bin/unhide.rb [ Warning ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
Также есть штука suckit (описанная в другой ветке здесь http://ubuntuforums.org/showthread.php ? t = 1680428 ), но это было исключено как ошибка.
Глядя на
netstat -ltnp
Там в этом порту ничего нет, по крайней мере, не сейчас.
Как мне это проверить? Как мне это сделать ??
1 ответ
Каждый раз, когда Вы хотите видеть, какой процесс содержит открытый порт, используйте команду lsof. Поскольку tcp порт использует lsof-i tcp:80, и для udp порта используют lsof-i udp:53. Информация обеспечит всю информацию, которой Вы требуете для обработки имени, изодромного с предварением, и владение. Например:
cyberfarer@Quadraphenia:~$ sudo lsof -i tcp:80
[sudo] password for cyberfarer:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
apache2 2723 root 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2751 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2752 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2753 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2754 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2755 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
Быстрый, легкий, и без бесполезной прокрутки и дешифровки.