22 Sep
2023
22 Sep
'23
8:37 a.m.
Ahoj,
z venku tam je toto
22/tcp open ssh
80/tcp open http
443/tcp open https
32769/tcp open filenet-rpc
takže jen web, ssh a právě ten podivný port 32769/tcp open filenet-rpc.
Nevypisuje vůbec id procesu
a pstree ho také nezobrazí.
Je to divné, že?
Je to divné. Ještě můžeš vyzkoušet `lsof -i:32769`, ale velké naděje
do toho nevkládám. Pokud není socket asociovaný s žádným procesem, tak
může pocházet přímo z kernelu (tak je to např. u NFS).
Tomáš Antecký mi na tento dotaz napsal:
Tak další krok bych asi zkusil https://www.chkrootkit.org/
Ale v této fázi už bych zvažoval reinstall stroje...
Souhlas.
Bude to teda asi napadené, co?
Možné to určitě je. Na portu 32769 může poslouchat i neprivilegovaný
uživatel, takže to ještě nemusí nutně znamenat, že má útočník root
access, ale nějaký průnik tam asi bude. A dohledat kam až se útočník
dostal a co všechno získal je velmi složité až nemožné (pokud má root
access a může přepisovat logy).
Honza