Re: porte in ascolto

Hello Massimo,

Wednesday, October 30, 2002, 6:01:55 PM, you wrote:

> Ho scritto una piccola utility (un programmino perl che usa l'output si
> netstat e lsof) che effettua il monitoraggio delle porte che risultano "in

Giusto per la cronaca (e in uno scenario di assenza di ulteriori
protezioni), molti kiddie rootkit et similia sostituiscono con una
propria versione alcuni binari di routine sistemistica tra i quali
netstat e lsof, in modo da celare un eventuale traccia d'attivita';
e' da tenere inoltre conto che alcuni protocolli e daemons mettono in listening
porte diverse per sessione durante normale attivita' (es. FTP in modalita' passiva).

> Sinceramente non mi spiego perchè sendmail sia in ascolto su una porta UDP:
> qualcuno di voi mi saprebbe aiutare?

E' difficile dire cosa siano effettivamente (dns?) senza una analisi
del traffico; se proprio vuoi una riprova  metti "tcpdump" (ti da anche
informazioni layer7 se conosce il protocollo) in modo da
generare un dump per quelle porte per una giornata.

Dalla contiguita' del numero di porta sembra siano state registrate in
modo consecutivo, forse a boot-time quando sono state lanciati quegli applicativi...





.FT


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List