Rootkit na porta 60001! Tiger diz isso - como eu verifico? [fechadas]

Navegue suas respostas
5

Meu sistema é um Ubuntu 13.10 atualizado

Eu instalei o Tiger e estou recebendo isso 

# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 60001)

O quê?!

Eu também tentei rkhunter: realmente não achei nada diretamente, aqui estão os avisos variados 

/usr/bin/unhide.rb                                       [ Warning ]
Checking for passwd file changes                         [ Warning ]
Checking for group file changes                          [ Warning ]
Checking /dev for suspicious file types                  [ Warning ]
Checking for hidden files and directories                [ Warning ]

Há também a coisa do suckit (descrita em outro tópico aqui link ), mas isso foi descartado como um bug.

Olhando para 

netstat -ltnp

Não há nada nessa porta, não agora, de qualquer maneira.

Como posso verificar isso? Como faço para isso?

    
por David 13.03.2014 / 18:37

1 resposta

1

Sempre que você quiser ver qual processo está mantendo uma porta aberta, use o comando lsof. Para uma porta tcp use lsof -i tcp: 80 e para uma porta udp use lsof -i udp: 53. As informações fornecerão todas as informações necessárias para processar nome, pid e propriedade. Por exemplo: 

cyberfarer@Quadraphenia:~$ sudo lsof -i tcp:80
[sudo] password for cyberfarer: 
COMMAND  PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2 2723     root    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2751 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2752 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2753 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2754 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2755 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)

Rápido, fácil e sem rolagem e decodificação desnecessárias.

    
por user267640 11.04.2014 / 01:25

Tags

O Ubuntu faz o computador aquecer mais do que o Windows? [fechadas] Como fazer upload de um arquivo para o Google Drive?