[linux-l] trojaner entdecken

Do Feb 1 22:30:57 CET 2007

* Ralph Angenendt wrote on Thu, Feb 01, 2007 at 11:51 +0100:
> Uwe Berger wrote:
> > MoinMoin,
> > 
> > > udp        0      0 0.0.0.0:32770           0.0.0.0:*
> > > udp        0      0 0.0.0.0:5353            0.0.0.0:*
> > > udp        0      0 0.0.0.0:111             0.0.0.0:*
> > > udp        0      0 0.0.0.0:631             0.0.0.0:*                     
> > >     
> > >
> > diese Einträge halte ich erstmal für unkritisch, ist irgendwas
> > Internes (lasse mich aber auch gern eines besseren belehren)...

unkritisch, wieso? Internes? Da steht, dass 4 UDP Dienste Packete von
beliebigen (an beliebige lokale) Addressen akzeptieren. Aber vermutlich
ist mindestens noch ein Paketfilter oder MASQ oder sowas davor (oder?).

[--- ESTABLISHED TCP ---]

Port 465... War das SMTP+SSL-irgendwas?

(Natürlich kann jedes Program diesen Port benutzen, das ist ja nur eine
Konvention)

> Belehr: 
> 
> a) Fix mal deine Zeilenlänge :)
> 
> b) Nein. Das ist nichts internes. Das heißt, dass auf *allen* Interfaces
>    etwas an den Ports 32770, 5353, 111 und 631 lauscht. 111 ist der
>    portmapper (sunrpc), 631 ist cups. Was an den anderen beiden Interfaces
>    lauscht, kann man mit netstat -puna rausfinden.

was macht CUPS eigentlich mit UDP?

Port 111 wäre auch für trojaner geeignet, wenn es nicht jeder firewallen
würde :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.