Perhaps in the system exist a rootkit...

[zx400bx2]

Здравствуйте.
Есть подозрения, что в системе есть руткит или что-то подобное...
Система:

Distributor ID:   Ubuntu
Description:   Ubuntu 9.04
Release:   9.04
Codename:   jaunty

Linux 2.6.28-18

====================================
nmap'ом обнаружил открытые порты

623/tcp                                 # Nessus говорит что такой же порт есть и по udp
16992/tcp

nmap не обнаружил еще и 69/udp
а nessus обнаружил 69/udp    # судя по описанию TFTP, но конект не получаеццо... даже баннера никакого нет.

netstat -an | grep LISTEN
netstat -lnp | grep LISTEN

портов 16992, 623 - нетстатом не обнаружил....

  Вот я и думаю, почему ЛИСТИНГа этих портов не видно по netstat. ss....

Пробовал подсоединится к 16992 порту по http выдат страницу "Intel® Web UI for Consumer is not supported. "
На 69 и 623 порт подсоединится не удалось...  

Проверил систему на rootkit
chkrootkit - ничего
rkhunter - тоже вообщем-то ничего...

Код: [Выделить]

[17:24:13] /usr/sbin/unhide                                  [ Warning ]
[17:24:13] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file.
[17:24:14] /usr/sbin/unhide-linux26                          [ Warning ]
[17:24:14] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.


[athost]

Используй поиск.

По rkhunter https://forum.ubuntu.ru/index.php?topic=84198.0

По портам ничего не понял. Покажи вывод nmap

[vadim-nsk]

сервер интеловский?

[Karl500]

Скорее всего, это Intel V-Box.

[zx400bx2]

сервер интеловский?

Да

Intel® Desktop Board DG43NB
Пользователь решил продолжить мысль 17 Марта 2010, 10:05:14:Удалил все пакеты, которые связанные с Exim4 и сам Exim4,
затем заставил SQUID висеть на внутреннем интерфейсе...,

еще раз просканнировал удаленный компьютер (который возможно был заражен)

Порты 623/udp и 16992 пропали...
остался только 69/udp

Странно, почему я эти порты не видел по netstat (кстати 69 в netstat тоже не отображается...)

Странно все это... очень странно...
Надо логи копать...

А вот это уже интересно, похоже на технологию "Port knocking"...

Код: [Выделить]

TIME-WAIT  0      0              *:39119         xx.xx.32.135:60097   
TIME-WAIT  0      0              *:39121         xx.xx.32.135:60097   
TIME-WAIT  0      0              *:39113         xx.xx.32.135:60097   
TIME-WAIT  0      0              *:39114         xx.xx.32.135:60097   
TIME-WAIT  0      0              *:39120         xx.xx.32.135:60097