Ahoj,
co je tohle za procesya jak to vypnout?
nmap 111/tcp open rpcbind 32769/tcp open filenet-rpc
systemctl stop rpcbind.socket
ukončí rpcbind na portu 111, ale
32769/tcp open filenet-rpc
tohle běží dál a nevím jaký program to spouští a jak to vypnout. Nemůžu mít server i napadený? Mám tam nějak hacknutý wordpress, možná to s tím souvisí.
díky
Živoslav
Ahoj, pro začátek můžeš (zevnitř virtuálu) spustit:
netstat -nlp | grep 32769
Tím zjistíš, jaký proces poslouchá na daném portu (v posledním sloupci výpisu budeš mít jeho PID a program name). Pak bych spustil `pstree -p`, kde si proces podle PID dohledáš a zjistíš, co ho spustilo. A nakonec ho můžeš přes `kill -9 PID` zabít.
Podle konfigurace je možné, že se ti při dalším restartu opět spustí – proto je dobré jít přes pstree a zkontrolovat, odkud se daný proces spouští a spouštěč případně vyřadit. Teoreticky i dřív, pokud by ho nahazoval např. cron job.
Mimochodem, z toho co píšeš mám podezření, že nemáš korektně nastavený firewall (pokud teda nescanuješ zevnitř localhost). Doporučuju zablokovat všechny příchozí porty, mimo těch, které explicitně povolíš (nezapomeň povolit SSH, ať se neodřízneš).
Honza
pá 22. 9. 2023 v 8:06 odesílatel Živoslav zivoslav@rodokrug.org napsal:
Ahoj,
co je tohle za procesya jak to vypnout?
nmap 111/tcp open rpcbind 32769/tcp open filenet-rpc
systemctl stop rpcbind.socket
ukončí rpcbind na portu 111, ale
32769/tcp open filenet-rpc
tohle běží dál a nevím jaký program to spouští a jak to vypnout. Nemůžu mít server i napadený? Mám tam nějak hacknutý wordpress, možná to s tím souvisí.
díky
Živoslav
Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
díky,
z venku tam je toto
22/tcp open ssh 80/tcp open http 443/tcp open https 32769/tcp open filenet-rpc
takže jen web, ssh a právě ten podivný port 32769/tcp open filenet-rpc.
Nevypisuje vůbec id procesu
a pstree ho také nezobrazí.
Je to divné, že?
Tomáš Antecký mi na tento dotaz napsal:
Tak další krok bych asi zkusil https://www.chkrootkit.org/ Ale v této fázi už bych zvažoval reinstall stroje... T
Bude to teda asi napadené, co?
dík
Živoslav
Dne 22. 09. 23 v 8:51 Jan Musílek napsal(a):
Ahoj, pro začátek můžeš (zevnitř virtuálu) spustit:
netstat -nlp | grep 32769
Tím zjistíš, jaký proces poslouchá na daném portu (v posledním sloupci výpisu budeš mít jeho PID a program name). Pak bych spustil `pstree -p`, kde si proces podle PID dohledáš a zjistíš, co ho spustilo. A nakonec ho můžeš přes `kill -9 PID` zabít.
Podle konfigurace je možné, že se ti při dalším restartu opět spustí – proto je dobré jít přes pstree a zkontrolovat, odkud se daný proces spouští a spouštěč případně vyřadit. Teoreticky i dřív, pokud by ho nahazoval např. cron job.
Mimochodem, z toho co píšeš mám podezření, že nemáš korektně nastavený firewall (pokud teda nescanuješ zevnitř localhost). Doporučuju zablokovat všechny příchozí porty, mimo těch, které explicitně povolíš (nezapomeň povolit SSH, ať se neodřízneš).
Honza
pá 22. 9. 2023 v 8:06 odesílatel Živoslavzivoslav@rodokrug.org napsal:
Ahoj,
co je tohle za procesya jak to vypnout?
nmap 111/tcp open rpcbind 32769/tcp open filenet-rpc
systemctl stop rpcbind.socket
ukončí rpcbind na portu 111, ale
32769/tcp open filenet-rpc
tohle běží dál a nevím jaký program to spouští a jak to vypnout. Nemůžu mít server i napadený? Mám tam nějak hacknutý wordpress, možná to s tím souvisí.
díky
Živoslav
Community-list mailing list --community-list@lists.vpsfree.cz To unsubscribe send an email tocommunity-list-leave@lists.vpsfree.cz
Community-list mailing list --community-list@lists.vpsfree.cz To unsubscribe send an email tocommunity-list-leave@lists.vpsfree.cz
Ahoj,
z venku tam je toto
22/tcp open ssh 80/tcp open http 443/tcp open https 32769/tcp open filenet-rpc
takže jen web, ssh a právě ten podivný port 32769/tcp open filenet-rpc.
Nevypisuje vůbec id procesu a pstree ho také nezobrazí. Je to divné, že?
Je to divné. Ještě můžeš vyzkoušet `lsof -i:32769`, ale velké naděje do toho nevkládám. Pokud není socket asociovaný s žádným procesem, tak může pocházet přímo z kernelu (tak je to např. u NFS).
Tomáš Antecký mi na tento dotaz napsal:
Tak další krok bych asi zkusil https://www.chkrootkit.org/ Ale v této fázi už bych zvažoval reinstall stroje...
Souhlas.
Bude to teda asi napadené, co?
Možné to určitě je. Na portu 32769 může poslouchat i neprivilegovaný uživatel, takže to ještě nemusí nutně znamenat, že má útočník root access, ale nějaký průnik tam asi bude. A dohledat kam až se útočník dostal a co všechno získal je velmi složité až nemožné (pokud má root access a může přepisovat logy).
Honza
Podla mna to bude suvisiet s NFS, alebo celym hostom kde bezia VPS, ja mam to iste ;). Ale cely pristup riadim FW, cize z vonku otvoreny nie je ;).
┌─[✗]─[root@vpsfree]─[~] └──╼ #netstat -tnlp |grep 327 tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN - tcp6 0 0 :::32769 :::* LISTEN -
community-list@lists.vpsfree.cz
-
Emil D. -
Jan Hodouš -
Jan Musílek -
Živoslav