Trojan op mijn linux bakken? - Linux en overige clients

zaterdag 16 december 2006 16:44

Acties:

Therapy?

Topicstarter

Okay de titel is misschien wat misleidend maar ik weet geen betere.....

Vandaag kwam een vriend van me lang met zijn laptop (een XP bak), hij wilde graag zijn mail checken dus verbond hij zijn laptop met mijn draadloos netwerk.

De router die ik daar voor gebruik is een ASUS WL-500G Premium. Omdat hij nieuwsgierig was draaide hij Lanspy, om te zien welke poorten ik open heb staan.

Nu kreeg hij de volgende output

http://home.orange.nl/drikenbette/Pics/Naamloos.png

Wat je ziet is de output van mijn Ubuntu 6.06 LTS bak (192.168.1.3) en van mijn Apple G3 met Ubuntu 6.10 (192.168.1.6)

Nu zie ik dus bij allebei poort 3127 trojan => W32 Mydoom

Nu ben ik gaan zoeken op google en t.net en ik ben een post tegengekomen met hetzelfde probleem alleen zonder oplossing

http://forum.pc-active.nl...640ddea0380ff893427a1c162

Wat zou het volgens jullie kunnen zijn, er hangt nml geen Windows bak aan mijn router. Ik weet niet of het kwaad kan.

Ik heb al wat online poort scans uitgevoerd maar daar komt niks schokkends uit.

[ Voor 3% gewijzigd door stokvis79 op 16-12-2006 16:45 ]

My girlfriend says That I need help My boyfriend says I'd be better off dead

zaterdag 16 december 2006 16:59

Acties:

freyk

Als je bak eens controleert op losse poorten (en de bewuste poort) met nmap?

Er zijn wel meer mensen die dit opmerken.

-edit-
Een antwoord van de makers zelf -via-

[ Voor 39% gewijzigd door freyk op 16-12-2006 17:03 ]

zaterdag 16 december 2006 17:01

Acties:

_Squatt_

Met 'netstat -nlp' (op de pc's zelf) kun je er ook achter komen welke programma's op welke poorten luisteren.

"He took a duck in the face at two hundred and fifty knots."

zaterdag 16 december 2006 17:02

Acties:

Verwijderd

Als je even zoekt met lsof welk proces de poort gebruikt, moet je er relatief snel achterkomen lijkt mij?

zaterdag 16 december 2006 17:03

Acties:

Croga

The Unreasonable Man

Tenzij je een windows emulator hebt draaien op die bakken gaat die trojan er niet op werken....

De W32 in de naam van de trojan staat voor "Windows32" als in: draait alleen op 32 bits windows operating systems.... Niet op Linux dus...

zaterdag 16 december 2006 17:07

Acties:

TommyGun

Stik er maar in!

Progje ook eens gerunned en bij mij ook; 3127 trojan => W32.Mydoom

Verder kan ik niks vinden in mijn firewall of in de logs (ClarkConnect) dus zal ook wel loos zijn.

(Draai regelmatig chkrootkit en rkhunter)

@ _Squatt_ ; geen 3127 in het rijtje van netstat -nlp

[ Voor 11% gewijzigd door TommyGun op 16-12-2006 17:09 ]

“In a world without walls and fences, who needs Windows and Gates".

zaterdag 16 december 2006 17:14

Acties:

Barracuda

het kan natuurlijk ook het orginele programma zijn wat op die poort draait

zie iana.org;

http://www.iana.org/assignments/port-numbers

ctx-bridge 3127/tcp CTX Bridge Port
ctx-bridge 3127/udp CTX Bridge Port

zie ook;
http://forums.techarena.in/showthread.php?t=169961

[ Voor 11% gewijzigd door Barracuda op 16-12-2006 17:16 ]

gratis af te halen SUN ultra1 compleet

zaterdag 16 december 2006 17:17

Acties:

freyk

Heeft iemand al "het antwoord van de makers" (zie vorige post) kunnen controleren?

If port 3127 of Windows computer is opened, most often this computer is infected with virus MyDoom
But you have a linux computer (router), so it can not be infected with this virus
This open port means that some service running on this computer listen this port
It can be

ctx-bridge 3127/tcp CTX Bridge Port
ctx-bridge 3127/udp CTX Bridge Port

or another service (demon).

zaterdag 16 december 2006 17:24

Acties:

Jungian

>_<

freyk schreef op zaterdag 16 december 2006 @ 17:17:
Heeft iemand al "het antwoord van de makers" (zie vorige post) kunnen controleren?

[...]

Met wat logisch nadenken had je er allang achter kunnen komen dat zo'n trojan helemaal niet KAN draaien op je linux-desktop, tenzij je deze specifiek met wine opgestart hebt. Beetje loos topic imho

0.0

zaterdag 16 december 2006 21:03

Acties:

Verwijderd

En als je eens probeert:

code:

1	lsof -i -nP \|grep ':3127'

Het zal met aan zekerheid grenzende waarschijnlijk wel loos zijn, maar wel leuk om even te weten watut wel is..

[ Voor 45% gewijzigd door Verwijderd op 16-12-2006 21:04 ]

zaterdag 16 december 2006 22:36

Acties:

TommyGun

Stik er maar in!

Verwijderd schreef op zaterdag 16 december 2006 @ 21:03:
En als je eens probeert:
code:
1
lsof -i -nP |grep ':3127'
Het zal met aan zekerheid grenzende waarschijnlijk wel loos zijn, maar wel leuk om even te weten watut wel is..

Niks, noppes, nada

[ Voor 27% gewijzigd door TommyGun op 16-12-2006 22:37 ]

“In a world without walls and fences, who needs Windows and Gates".

zondag 17 december 2006 15:17

Acties:

Rainmaker

RHCDS

code:

1	lsof -i:3127

Ik gok op squid

[ Voor 37% gewijzigd door Rainmaker op 17-12-2006 15:17 ]

We are pentium of borg. Division is futile. You will be approximated.

zondag 17 december 2006 15:29

Acties:

stokvis79

Therapy?

Topicstarter

Verwijderd schreef op zaterdag 16 december 2006 @ 21:03:
En als je eens probeert:
code:
1
lsof -i -nP |grep ':3127'
Het zal met aan zekerheid grenzende waarschijnlijk wel loos zijn, maar wel leuk om even te weten watut wel is..

Geeft bij mij ook geen output.

My girlfriend says That I need help My boyfriend says I'd be better off dead

zondag 17 december 2006 20:39

Acties:

_JGC_

En MSSQL draait ook geweldig op een mac. Nee, handig tooltje, net zoals die rootkit checker die destijds stond te schreeuwen dat ik een bindshell had omdat ik een SMTP/SSL server draaide op poort 465, wat toevallig een poort was van een bekende rootkit.

Met nmap -sV weet je snel genoeg of er iets loos is, die probeert nml ook de service te achterhalen.

zondag 17 december 2006 22:14

Acties:

zomertje

Barisax knorretje

Aangezien Windows trojans niet gaan werken op Linux systemen lijkt me dit topic redelijk nutteloos.

Deze gaat dicht dus.

het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun