"Стоп!" - думаю себе, что за порт такой?

Аватар пользователя DRVTiny

В логе IPTables вижу:
Nov 1 19:43:43 localhost INP_DROP: IN=eth0 OUT= MAC=00 SRC=149.174.211.3 DST=<вырезано цензурой> LEN=140 TOS=00 PREC=0x60 TTL=49 ID=0 DF PROTO=UDP SPT=9052 DPT=32768 LEN=120

После этого, почесав затылок:
[root@localhost DRVTiny]# netstat -pna | grep 32768
udp 0 0 0.0.0.0:32768 0.0.0.0:* 1445/named

Это что, кто-то уже трояна подсадил на сервер или я чего-то недопонимаю??? Грустный

Аватар пользователя RedBeard

Re: "Стоп!" - думаю себе, что за порт такой?

Троян, естессно! А ты хоть одну полезную прогу, которая по 32768-му порту работает, видел? Разве что, eDonkey, но и то, не думаю, что бы осел до ТАКОГО порта добрался!

Немного подумав: А ослу, в принципе, пофиг. ИМХО, он порты случайным образом выбирает. Наверное, возможно и это.

Аватар пользователя alu

Re: "Стоп!" - думаю себе, что за порт такой?

RedBeard, сомневаюсь что троян - в свеже поставленной системе
udp 0 0 :::32769 :::* 1839/named

системе, которой 2 месяца, фаервол по-умолчанию блоирует всё (все правила прописывал на предыдущей системе ушло несколько недель остальное в FORWARD/INPUT/OUTPUT -j DROP). Так что эти порты тоже, для них правил не делал.
udp 0 0 0.0.0.0:35163 0.0.0.0:* 11224/named
udp 0 0 :::35164 :::* 11224/named

Если это троян, тогда он идет в поставке ASPLinux 11)))). Тогда может стоит расстаться с ASP????

Аватар пользователя azimut

Re: "Стоп!" - думаю себе, что за порт ...

Детки, это Эфемерный порт. Учите матчасть!

Аватар пользователя azimut

Re: "Стоп!" - думаю себе, что за порт ...

Или линуксовый вариант RPC, надо смотреть. Линуксовый RPC также уязвим как и Вендозный.

Multiple Linux Vendor rpc.statd Remote Format String Vulnerability.
A vulnerability exists in the rpc.statd program which is part of
the nfs-utils packages, distributed with a number of popular Linux
distributions. Because of a format string vulnerability when calling
the syslog() function a malicious remote user can execute code as root.

А вообще, ASP - редкое говно. Уже даже потому что RPC у него вот так торчит наружу. И пользователи тупые и безграмотные.

RSS-материал