DisturbeR
02.05.2006, 22:23
Давно пользуюсь socks5 установленном на заграничном сервере, с правами nobody. Сегодня случайно посмотрел открытые порты и увидел десяток новых: 3333, 5555, 6666 и т.д. Посмотрел /tmp, а там несколько вариантов программок типа psybinda. Видимо какой-то злобный хакерюга, тренировался. Процессы он убил (оставил один живой), а порты светятся.
Админ конечно лох, но такую рождественскую елку вряд ли не заметит.
Можно ли убрать порты c правами nobody?
Пробовал найти и убить процесс держащий порт, не помогает. Выглядит это так:
1. netstat –an | grep –listen
tcp 0 0 0.0.0.0:6666 0.0.0.0:* LISTEN
2. fuser -n tcp 6666
23752
3. ps aux | grep 23752
nobody 23752 0.0 0.1 2176 1052 ? S 12:04 0:00 /usr/local/apache/bin/httpd –DSSL
4. kill -9 23752
и нихера, порт светится
С линухом дружить только начинаю, может чего делаю не так?
Админ конечно лох, но такую рождественскую елку вряд ли не заметит.
Можно ли убрать порты c правами nobody?
Пробовал найти и убить процесс держащий порт, не помогает. Выглядит это так:
1. netstat –an | grep –listen
tcp 0 0 0.0.0.0:6666 0.0.0.0:* LISTEN
2. fuser -n tcp 6666
23752
3. ps aux | grep 23752
nobody 23752 0.0 0.1 2176 1052 ? S 12:04 0:00 /usr/local/apache/bin/httpd –DSSL
4. kill -9 23752
и нихера, порт светится
С линухом дружить только начинаю, может чего делаю не так?