[LINUX] random .exe's op poort 10000 [/virus?] - Linux en overige clients

woensdag 12 februari 2003 14:26

Acties:

Verwijderd

Topicstarter

solved

okay wat ik NU toch tegenkom...

ik heb hier een redhat 8.0 bak, redelijk standaard installatie(apache, BIND voor mijn domeintje, en een identd)

nou wou ik nog een service installeren op poort 10000...
heej wat gek, die poort staat al open...............(alle interfaces btw)

dus ik connect ernaar met telnet...ja, poort open, geen data..
ff met webbrowser proberen...ja hoor
keer op keer probeert ie dus random .exe te versturen...

ik ben mcaffee voor linux al aan het downloaden, 'k heb xs4all

weten jullie wat dit in godsnaam nou weer kan zijn?

//edit:

en nu hoor ik opeens een beep..

ik ben redelijk ver in linux, maar dit ben ik nou nog nooit tegen gekomen...

[ Voor 16% gewijzigd door Verwijderd op 12-02-2003 14:43 ]

woensdag 12 februari 2003 14:28

Acties:

Verwijderd

wat laat lsof|grep "TCP"|grep 10000 zien?

woensdag 12 februari 2003 14:30

Acties:

wzzrd

The guy with the Red Hat

Niet echt, maar ik kan je wel iets vertellen:
a) poort 10000 is de standaard webmin poort
b) een exe?? Random EXE? Bedoel je een binary? Een willekeurige binary? Een Windows executable? Een willekeurige windows executable? Een bestand dat random.exe heet? Leg eens iets beter uit
c) die virusscanner heb je niets aan. Scant nl. voor Windows virii in bijv. mail op een linux -server, niet naar linux virussen (bestaan ook nauwelijk).
d) zoek eens naar het programma chkrootkit. Dát is het proggie wat je zoekt.

woensdag 12 februari 2003 14:30

Acties:

rvtk

Heb je Webmin geinstallerd, die gebruikt nl deze poort ?
(rpm -q webmin)

woensdag 12 februari 2003 14:33

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

klinkt alsoffie gehackt bent... en iemand een pakketje op poortje 1000 laat draaien..
geeft ps geen bijzonder process?

edit:
Oh en als je toch bezig bent.. controlleer gelijk of er geen accountje is bijgekomen.. of een account dat normaal gesproken geen shell heeft of niet in mag loggen die nu toevallig wel een pass heeft en/of een shell

[ Voor 50% gewijzigd door xzenor op 12-02-2003 14:34 ]

woensdag 12 februari 2003 14:41

Acties:

Verwijderd

Topicstarter

hardstikke bedankt voor de snelle reacties allemaal

code:

1 2	[root@axes-for-all root]# lsof\|grep "TCP"\|grep 10000 portfwd 893 root 4u IPv4 1938 TCP *:10000 (LISTEN)

omfg ik ben dom geweest...ik had een portfwd naar mijn windowsbak:139 DIE NIET AANSTAAT opengezet...

nu portfwd afgesloten: nix meer....maar waarom galeon er dan random .exe's van maakt....raar

bedankt voor jullie hulp allemaal...ik 'was een beetje dom'

//edit:

ja ik werd gewoon wat paranoia:
zombie processen, opeens een beep(moet nog steeds zien waar dat vandaan komt (nee, ik typ niet iets fout in

)
hmm anywayz dit scheelt weer

[ Voor 20% gewijzigd door Verwijderd op 12-02-2003 14:46 ]

woensdag 12 februari 2003 14:43

Acties:

wzzrd

The guy with the Red Hat

Mag ik - puur uit nieuwsgierigheid - weten waarom je een portforward maakt naar een van de minst veilige poorten in de computerwereld?

woensdag 12 februari 2003 14:53

Acties:

Verwijderd

why? zodat je die kunt abusen

Serieus, ik kan zo wel 10 andere poorten opnoemen die "minder" veilig zijn (geweest) dan 139

woensdag 12 februari 2003 14:58

Acties:

wzzrd

The guy with the Red Hat

Doe es

woensdag 12 februari 2003 15:05

Acties:

Verwijderd

Topicstarter

hmm ik zou dan vanaf de tu toch nog enigzins mijn windows schijf kunnen mounten, en poort 10000 is nou niet echt de poort waar je netbios op verw8

woensdag 12 februari 2003 15:15

Acties:

Verwijderd

wzzrd: Neem maar een willekeurige reeks known ports. Al die services hebben bugs gehad, waarvan de meeste remote-root waren.
compieter: Waarom niet gewoon een ftp server? wzzrd heeft er wel gelijk in dat je eigk niet die service door je firewall wilt laten...

woensdag 12 februari 2003 15:21

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

of bijv. een pptp daemon laten draaien op je linuxbak..
is je hele netwerk bereikbaar (als je de rechten hebt om een vpn connectie op te zetten).
En toch password beveiligd.

dat is die netbios waarschijnlijk ook wel (anders ben je echt vaag bezig) maar vpn is net wat meer secure dan een open netbios poort

woensdag 12 februari 2003 15:44

Acties:

Verwijderd

Topicstarter

ja is waar...maar die netbios was ik allang alweer vergeten (en die pc is ook al in tiiijden niet meer aangesloten, dus..:))

woensdag 12 februari 2003 15:46

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

wel heel erg wazig dan dat er files gestuurd worden vanaf een poort waar niets aan hangt.......

woensdag 12 februari 2003 15:56

Acties:

wzzrd

The guy with the Red Hat

Verwijderd schreef op 12 February 2003 @ 15:15:
wzzrd: Neem maar een willekeurige reeks known ports. Al die services hebben bugs gehad, waarvan de meeste remote-root waren.
compieter: Waarom niet gewoon een ftp server? wzzrd heeft er wel gelijk in dat je eigk niet die service door je firewall wilt laten...

Ik denk dat je nu de zaak toch wat overdrijft. Telnet, SNMP en misschien zelfs oude versies SSH, ok, wellicht daar wel. Maar om nou te zeggen dat er in FTP _{denkt aan wuftpd}, SMTP _{denkt aan sendmail}, POP3 en IMAP4 nou remote-rootable exploits zaten gaat me wat al te ver.

Mmmhh... Misschien idd. wel een zooitje. Maar ik vind persoonlijk NetBIOS daar prima tussen passen

[ Voor 18% gewijzigd door wzzrd op 12-02-2003 15:57 ]

woensdag 12 februari 2003 16:50

Acties:

Verwijderd

Yupz, moraal van het verhaal: Draai geen vulnerable services op je netwerk

woensdag 12 februari 2003 17:22

Acties:

Verwijderd

Topicstarter

r3b00t: dat had er weinig mee te maken:
ik was gewoon zo stom om te vergeten dat ik nog een portfwd aanhad op die poort