[linux-l] trojaner entdecken
Steffen Dettmer
steffen at dett.de
Do Feb 1 22:30:57 CET 2007
* Ralph Angenendt wrote on Thu, Feb 01, 2007 at 11:51 +0100:
> Uwe Berger wrote:
> > MoinMoin,
> >
> > > udp 0 0 0.0.0.0:32770 0.0.0.0:*
> > > udp 0 0 0.0.0.0:5353 0.0.0.0:*
> > > udp 0 0 0.0.0.0:111 0.0.0.0:*
> > > udp 0 0 0.0.0.0:631 0.0.0.0:*
> > >
> > >
> > diese Einträge halte ich erstmal für unkritisch, ist irgendwas
> > Internes (lasse mich aber auch gern eines besseren belehren)...
unkritisch, wieso? Internes? Da steht, dass 4 UDP Dienste Packete von
beliebigen (an beliebige lokale) Addressen akzeptieren. Aber vermutlich
ist mindestens noch ein Paketfilter oder MASQ oder sowas davor (oder?).
[--- ESTABLISHED TCP ---]
Port 465... War das SMTP+SSL-irgendwas?
(Natürlich kann jedes Program diesen Port benutzen, das ist ja nur eine
Konvention)
> Belehr:
>
> a) Fix mal deine Zeilenlänge :)
>
> b) Nein. Das ist nichts internes. Das heißt, dass auf *allen* Interfaces
> etwas an den Ports 32770, 5353, 111 und 631 lauscht. 111 ist der
> portmapper (sunrpc), 631 ist cups. Was an den anderen beiden Interfaces
> lauscht, kann man mit netstat -puna rausfinden.
was macht CUPS eigentlich mit UDP?
Port 111 wäre auch für trojaner geeignet, wenn es nicht jeder firewallen
würde :)
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l