[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[luga] Offener Port ohne Prozess, netstat vs. lsof



Servus LUGA!

Mal davon ausgehend, dass die betroffene Debian-Maschine nicht 
missbraucht wurde, hab ich folgenden Umstand bemerkt:

chkrootkit monierte, dass Port 1008 in Verwendung sei. _netstat -ltu_ 
zeigte den UDP-Port 1008 mit State LISTEN an. Ein _nmap_ von einem 
benachbarten Rechner aus bestätigte, dass 1008 offen ist.

In der Ausgabe von _lsof -i_ fand sich aber kein 1008. Und _netstat 
-pena_ lieferte (nur)

  udp     0    0 0.0.0.0:1008       0.0.0.0:*     0   37019621   -

Wenn ich richtig gezählt hab, dann ist der User root (0) und der Inode 
37019621, und es wird keine PID angeführt. Zum Inode fand sich mit 
_ls_ und _find_ kein zugehöriger Dateiname (wobei mir nicht klar ist, 
welche Inodes das eigentlich sind[*]).

Inzwischen hab ich auf anderen Debians in der Ausgabe von _netstat 
-pena_ gesehen, dass es offenbar öfter vorkommt, dass keine PID 
angezeigt wird. Was hat es damit auf sich? Kann mir jemand nachhelfen?

Übrigens verschwand nach einiger Zeit (1-3 Stunden) der Port 1008 aus 
netstat's Liste.

-- Andreas


P.S.: Wie bringe ich _lsof_ dazu, die Ports numerisch auszugeben 
(analog zu netstat -n)?

[*] Ich fand auch keine Doku dazu. Die von netstat ausgegebenen Inodes 
sollten jene der Sockets sein. In der Manpage findet sich dazu aber 
nichts und der Source-Code von netstat.c half mir auch nicht (was 
allerdings mehr an meinen bescheidenen Kenntnissen liegen dürfte).




powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010