My Doom

[Samatman]

Доброго времени суток.

На роутере завелся троянчик типа My Doom W32. Сидит он на порту 3127,
Чем убить ету заразу?

Ситуация такая:

Fedora Core 5. eth0 смотрит в нет. eth1 в локалку.


Спасибо Всем.

[BuTyc]

А как ты выяснил, что это именно троян, а не какой нибудь из твоих (ненастроенных, случайно запущеных) сервисов? Попробуй netstat -lp --inet, и посмотри какая прога держит порт.

[unix_man]

А может просто закрыть порт ?

[BuTyc]

А может просто закрыть порт ?

Не, ну всё же интересно кто порт открыл!? А уж в зависимости от полученных сведений и принимать решение, что делать, закрывать или конфигурировать :-)

[unix_man]

А может просто закрыть порт ?

Не, ну всё же интересно кто порт открыл!? А уж в зависимости от полученных сведений и принимать решение, что делать, закрывать или конфигурировать :-)

Гыыы. А если на этом порту висело что важное, то сразу станет ястно

[Samatman]

А как ты выяснил, что это именно троян, а не какой нибудь из твоих (ненастроенных, случайно запущеных) сервисов? Попробуй netstat -lp --inet, и посмотри какая прога держит порт.

С одной из машин в локалке специально просканировали роутер LanSpy2.0 и получили вот такую бяку, я конечно понимаю - ребячество, но результат неожиданный и очень неприятный. И вот я спрашиваю: что делать-то?

[Shura]

netstat -lp --inet что выдает?

[Samatman]

netstat -lp --inet что выдает?

[root@localhost ~]# netstat -lp --inet
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address Stat e PID/Program name
tcp 0 0 localhost.localdomain:shell *:* LIST EN 1948/ipcad
tcp 0 0 *:sunrpc *:* LIST EN 1423/portmap
tcp 0 0 localhost.localdomain:50000 *:* LIST EN 1664/hpiod
tcp 0 0 localhost.localdomain:50002 *:* LIST EN 1669/python
tcp 0 0 localhost.localdomain:ipp *:* LIST EN 1681/cupsd
tcp 0 0 localhost.localdomain:smtp *:* LIST EN 1754/sendmail: acce
tcp 0 0 *:54779 *:* LIST EN 1442/rpc.statd
udp 0 0 *:cadlock *:* 1442/rpc.statd
udp 0 0 *:filenet-rmi *:* 1442/rpc.statd
udp 0 0 *:filenet-pa *:* 1898/avahi-daemon:
udp 0 0 *:mdns *:* 1898/avahi-daemon:
udp 0 0 *:sunrpc *:* 1423/portmap
udp 0 0 *:ipp *:* 1681/cupsd
[root@localhost ~]#

[Sleeping Daemon]

netstat -lp --inet что выдает?

[root@localhost ~]# netstat -lp --inet
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address Stat e PID/Program name
tcp 0 0 localhost.localdomain:shell *:* LIST EN 1948/ipcad
tcp 0 0 *:sunrpc *:* LIST EN 1423/portmap
tcp 0 0 localhost.localdomain:50000 *:* LIST EN 1664/hpiod
tcp 0 0 localhost.localdomain:50002 *:* LIST EN 1669/python
tcp 0 0 localhost.localdomain:ipp *:* LIST EN 1681/cupsd
tcp 0 0 localhost.localdomain:smtp *:* LIST EN 1754/sendmail: acce
tcp 0 0 *:54779 *:* LIST EN 1442/rpc.statd
udp 0 0 *:cadlock *:* 1442/rpc.statd
udp 0 0 *:filenet-rmi *:* 1442/rpc.statd
udp 0 0 *:filenet-pa *:* 1898/avahi-daemon:
udp 0 0 *:mdns *:* 1898/avahi-daemon:
udp 0 0 *:sunrpc *:* 1423/portmap
udp 0 0 *:ipp *:* 1681/cupsd
[root@localhost ~]#

3127 не видно. Никто его не слушает.
А socklist у Вас случайно есть?
Если есть, то лучше его вывод посмотреть.

[elide]

я че-то сильно не понял, а каким образом MyDoom Win32 завелся под линуксом?

[Samatman]

я че-то сильно не понял, а каким образом MyDoom Win32 завелся под линуксом?

Да я вот тоже не врублюсь, а не может быть так,что LanSpy просто опознает его как MyDoom Win32(ввиду того что он сам заточен под Windows), а на самом деле это что то другое?
Что скажете?

netstat -lp --inet что выдает?

[root@localhost ~]# netstat -lp --inet
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address Stat e PID/Program name
tcp 0 0 localhost.localdomain:shell *:* LIST EN 1948/ipcad
tcp 0 0 *:sunrpc *:* LIST EN 1423/portmap
tcp 0 0 localhost.localdomain:50000 *:* LIST EN 1664/hpiod
tcp 0 0 localhost.localdomain:50002 *:* LIST EN 1669/python
tcp 0 0 localhost.localdomain:ipp *:* LIST EN 1681/cupsd
tcp 0 0 localhost.localdomain:smtp *:* LIST EN 1754/sendmail: acce
tcp 0 0 *:54779 *:* LIST EN 1442/rpc.statd
udp 0 0 *:cadlock *:* 1442/rpc.statd
udp 0 0 *:filenet-rmi *:* 1442/rpc.statd
udp 0 0 *:filenet-pa *:* 1898/avahi-daemon:
udp 0 0 *:mdns *:* 1898/avahi-daemon:
udp 0 0 *:sunrpc *:* 1423/portmap
udp 0 0 *:ipp *:* 1681/cupsd
[root@localhost ~]#

3127 не видно. Никто его не слушает.
А socklist у Вас случайно есть?
Если есть, то лучше его вывод посмотреть.

Прошу прошения, что это такое и как мне его посмотреть?
С уважением,надеждой на понимание Samatman.

[Sleeping Daemon]

[quote name='Samatman' date='May 3 2006, в 16:26' post='198257']
[quote name='elide' post='198226' date='May 3 2006, в 15:38']
я че-то сильно не понял, а каким образом MyDoom Win32 завелся под линуксом?
[quote]

[quote]
3127 не видно. Никто его не слушает.
А socklist у Вас случайно есть?
Если есть, то лучше его вывод посмотреть.
[quote]

Прошу прошения, что это такое и как мне его посмотреть?
С уважением,надеждой на понимание Samatman.
[quote]
socklist это перловый скрипт.
Держите:

Код: Выделить всё

#!/usr/bin/perl

# socklist
# Simple and effective substitute for "lsof" for Linux with a proc filesystem.
# Standard permissions on the proc filesystem make this program only
# useful when run as root.

# Larry Doolittle <ldoolitt@jlab.org>
# September 1997

# example output (with # added given the context of a perl program):
#
# type  port      inode     uid    pid   fd  name
# tcp   1023     394218     425  23333    3  ssh
# tcp   1022     394166     425  23312    3  ssh
# tcp   6000     387833     313   3942    0  X
# tcp   2049      81359       0  13296    4  rpc.nfsd
# tcp    745      81322       0  13287    4  rpc.mountd
# tcp    111      81282       0  13276    4  portmap
# tcp     22      26710       0   7372    3  sshd
# tcp     25      25902       0    156   18  inetd
# tcp     80      20151       0   2827    4  boa-0.92
# tcp     23       2003       0    156    5  inetd
# udp    620     855681       0      0    0
# udp    655     394445       0      0    0
# udp   2049      81356       0  13296    3  rpc.nfsd
# udp    743      81319       0  13287    3  rpc.mountd
# udp    111      81281       0  13276    3  portmap
# udp    707       2776       0      0    0
# udp    514       1861       0    124    1  syslogd
# raw      1          0       0      0    0
#
# It appears that each NFS mount generates an open udp port, which
# is not associated with any process.  This is the origin of those
# mysterious ports 620, 655, and 707 above.  I still don't understand
# the meaning of raw port 1.

# part 1: scan through the /proc filesystem building up
# a list of what processes own what network "inodes".
# result is associative array %sock_proc.

opendir (PROC, "/proc") || die "proc";
for $f (readdir(PROC)) {
    next if (! ($f=~/[0-9]+/) );
    if (! opendir (PORTS, "/proc/$f/fd")) {
        # print "failed opendir on process $f fds\n";
        closedir PORTS;
        next;
    }
    for $g (readdir(PORTS)) {
        next if (! ($g=~/[0-9]+/) );
        $r=readlink("/proc/$f/fd/$g");

# 2.0.33: [dev]:ino
#       ($dev,$ino)=($r=~/^\[([0-9a-fA-F]*)\]:([0-9]*)$/);
# 2.0.78: socket:[ino]
#       ($dev,$ino)=($r=~/^(socket):\[([0-9]*)\]$/);
# -svm-
        ($dev,$ino)=($r=~/^(socket|\[[0-9a-fA-F]*\]):\[?([0-9]*)\]?$/);

        # print "$f $g $r DEV=$dev INO=$ino\n";
        if ($dev == "[0000]" || $dev == "socket") {$sock_proc{$ino}=$f.":".$g;}
    }
    closedir PORTS;
}
closedir PROC;

# exit;

# for $a (keys(%sock_proc)) {print "$a $sock_proc{$a}\n";}

# part 2: read /proc/net/tcp, /proc/net/udp, and /proc/net/raw,
# printing the answers as we go.

print "type  port      inode     uid    pid   fd  name\n";
sub scheck {
    open(FILE,"/proc/net/".$_[0]) || die;
    while (<FILE>) {
        @F=split();
        next if ($F[9]=~/uid/);
        @A=split(":",$F[1]);
        $a=hex($A[1]);
        ($pid,$fd)=($sock_proc{$F[9]}=~m.([0-9]*):([0-9]*).);
        $cmd = "";
        if ($pid && open (CMD,"/proc/$pid/status")) {
           $l = <CMD>;
           ($cmd) = ( $l=~/Name:\s*(\S+)/ );
           close(CMD);
        }
        printf "%s %6d %10d  %6d %6d %4d  %s\n",
            $_[0], $a ,$F[9], $F[7], $pid, $fd, $cmd;
    }
    close(FILE);
}

scheck("tcp");
scheck("udp");
scheck("raw");

[Mr.Anderson]

гм... а не установлены ли там случайно вещи like portsentry?

[BuTyc]

гм... а не установлены ли там случайно вещи like portsentry?

А причём здесь portsentry, она при сканировании просто послала бы сканер куда подальше, в зависимости от того, что в конфиге сказано делать, а эфекта открытого порта с ней не добиться. Тем более если пускать её в stealth режиме.