Добро пожаловать в ботнет ?
 

ubuntu 7.10.
Просканил сегодня самого себя nmap'ом, и обнаружил интересные вещи (весь список приводить не буду):
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
54320/tcp open bo2k
понятно что сам я это не ставил, и более того, вчера тот же сканер показывал только один открытый порт - 80. (это обнаружилось после того, как я скачал 140мб патчей из репозитория)

Нарисовал такой скрипт:
#!/bin/sh
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 12345 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 12345 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 12346 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 12346 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 31337 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 31337 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 27665 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 27665 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 54320 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 54320 -j DROP
но сканер по-прежнему выдает то же самое. как избавиться от этой гадости?

можешь попробывать просканировать rkhunter'ом

отключи portsentry

большое спасибо, ребята, вы кулл!
MicRO
надо же, вырубил portsentry и теперь открыт только 21 порт, на котором у меня висит фтп сервак. А не могли бы вы объяснить, как эта программа связана с мнимым обнаружением троянов?
з.ы. rkhunter вроде ничего

Portsentry - система обнаружения сканирования портов.
Он слушает эти порты вот они и кажутся открытыми
Если хотим больше читаем тут ну и тут

еще раз спасибо вопрос решен