Tag Leute,
ich hab nach langer Zeit wieder meinen nmap auf 127.0.0.1 laufen lassen, und das Ergebnis ist doch sehr verwunderlich:
Starting Nmap 4.20 ( http://insecure.org ) at 2007-12-03 23:28 CET
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1667 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
119/tcp open nntp
143/tcp open imap
540/tcp open uucp
631/tcp open ipp
635/tcp open unknown
953/tcp open rndc
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
3128/tcp open squid-http
6667/tcp open irc
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k
Ich habe jetzt alle ports fett markier,t für die kein Serverdienst[/b] installiert ist, also auch kein Port 25 oder gar ein IRC-Server (6667). Dieser Scan ergab sich direkt nach einem Neustart, als noch sämtliche Internetverbindungen getrennt waren.
Die offenen Ports sind erstmal kein Problem, hab mein firewallscript (iptables) dementsprechend eingerichtet.
Hat jemand ne Idee, wie ich die Programme zu den anderen offenen Ports ausfindig machen kann? Und ist hier was dabei, wo auf jeden Fall sämtliche Alarmglocken angehen müssten? Hab ich wirklich Trojaner drauf?
Ich benutze Debian Sid mit Kernel 2.6.22-3-486.
Hilfe - hab ich mir Trojaner eingefangen?
Hey finupsen, danke für den super tipp 
Hat mich vor nem Herzinfarkt bewahrt.
Wer das Paket "portsentry" installiert hat, wird feststellen, dass er vermutlich (fast) gleiche viele Ports wie ich deshalb geöffnet hat.
Werd mich jetzt mal durchlesen, ob das wirklich so sein muss, denk ich hab da nen Konfigurationsfehler ...
Also: Kein Trojaner, sondern portsentry. In diesem Zusammenhang: Wenn meine iptables input chain eh auf "drop" steht und nur Port 22 nach aussen hin offen ist, wird portsentry dann jemals auf portscans anspringen? Wenn nicht - kann ich mir das grad sparen.
Hat mich vor nem Herzinfarkt bewahrt.Wer das Paket "portsentry" installiert hat, wird feststellen, dass er vermutlich (fast) gleiche viele Ports wie ich deshalb geöffnet hat.
Werd mich jetzt mal durchlesen, ob das wirklich so sein muss, denk ich hab da nen Konfigurationsfehler ...
Also: Kein Trojaner, sondern portsentry. In diesem Zusammenhang: Wenn meine iptables input chain eh auf "drop" steht und nur Port 22 nach aussen hin offen ist, wird portsentry dann jemals auf portscans anspringen? Wenn nicht - kann ich mir das grad sparen.
