Ahoj,
z venku tam je toto
22/tcp open ssh 80/tcp open http 443/tcp open https 32769/tcp open filenet-rpc
takže jen web, ssh a právě ten podivný port 32769/tcp open filenet-rpc.
Nevypisuje vůbec id procesu a pstree ho také nezobrazí. Je to divné, že?
Je to divné. Ještě můžeš vyzkoušet `lsof -i:32769`, ale velké naděje do toho nevkládám. Pokud není socket asociovaný s žádným procesem, tak může pocházet přímo z kernelu (tak je to např. u NFS).
Tomáš Antecký mi na tento dotaz napsal:
Tak další krok bych asi zkusil https://www.chkrootkit.org/ Ale v této fázi už bych zvažoval reinstall stroje...
Souhlas.
Bude to teda asi napadené, co?
Možné to určitě je. Na portu 32769 může poslouchat i neprivilegovaný uživatel, takže to ještě nemusí nutně znamenat, že má útočník root access, ale nějaký průnik tam asi bude. A dohledat kam až se útočník dostal a co všechno získal je velmi složité až nemožné (pokud má root access a může přepisovat logy).
Honza