IP Scan na porta 80 (X_X)

**PiTsA** · 02-02-2005, 13:14

Tem uma coisa que ta me intrigando...

meu server de repente começou a scanear na porta 80 vários ips seguidos...ele vai somando semrpe +1 ao numero final do IP.... deêm um look... eu só ainda não cosnegui descobrir qual processo está fazendo isso... parei quase todos mas ainda continua fazendo...

http://projetos.unimetalcoque.com.br/iptraf.txt

detalhe que o IP semrpe começa com 200.21.*.* e vai subindo....

02-02-2005, 13:23

o pitza, dá um netstat --inet -nap e vê ese ele mostra o aplicativo que está fazendo isso.

02-02-2005, 13:26

Atrás desse server , tem quantas maquina clientes ? pode ser até um terminal gerando isso, com um virus ou coisa do tipo.

felco · 02-02-2005, 13:34

vc chegou a desabilitar o ip_forward?

**pitanga** · 02-02-2005, 23:54

Experimente executar o lsof para identificar os arquivos abertos.

Além disso, procure executar o chrootkit para indentificar um possível rootkit na sua máquina.

[]´s

Marcos Pitanga

**DropALL** · 03-02-2005, 12:02

Veio roda o chkrootkit, porque se for um rootkit escroto, ele sobreescreve ls, ps, pstree, lsof, com umas versões que ocultam ele proprio rodando, então nesse não tem mesmo como você saber só dando um "ps".

O interessante é que também no caso de sobrescrever o ls, ele grava umas versões antigas, caso você der ls no /lib por exemplo, os links simbolicos estarão "estranhos" parecendo hardlinks, e em alguns casos se você der 'ls" em diretorios com arquivos maiores que 4gb, ele da erro, ai você pode pegar o safado.

Verifica tambem teu /etc/rc.local ou rc.sysinit em busca de algo estranho.

flow

IP Scan na porta 80 (X_X)

Ferramentas de Tópicos