[ubuntu-it] Due strani risultati con "chkrootkit" e "rkhunter --checkall"
Marco Fabbri
mrfabbri a gmail.com
Lun 20 Feb 2006 09:36:56 UTC
Il giorno lun, 20/02/2006 alle 10.01 +0100, Nakinub ha scritto:
> ecco fatto....
>
>
>
> xxx a ubuntu:~$ sudo netstat -anp -t tcp
> Password:
> Active Internet connections (servers and established)
> Proto Recv-Q Send-Q Local Address Foreign Address
> State PID/Program name
> tcp 0 0 0.0.0.0:5280 0.0.0.0:*
> LISTEN 7 656/beam
> tcp 0 0 127.0.0.1:32769 0.0.0.0:*
> ...
> LISTEN 7 656/beam
> tcp 0 0 0.0.0.0:32774 0.0.0.0:*
> LISTEN 7 656/beam
> tcp 0 0 0.0.0.0:5223 0.0.0.0:*
> LISTEN 7 656/beam
> tcp 0 0 127.0.0.1:32776 0.0.0.0:*
> ..
> LISTEN 7 637/epmd
> tcp 0 0 0.0.0.0:5269 0.0.0.0:*
> LISTEN 7 656/beam
> tcp 0 0 0.0.0.0:4662 0.0.0.0:*
> ...
> tcp 0 0 127.0.0.1:32775 127.0.0.1:4369
> ESTABLISHED7 656/beam
> tcp 0 0 127.0.0.1:4369 127.0.0.1:32775
> ESTABLISHED7 637/epmd
>
EPMD è l'Erlang Portampper Daemon (man epmd). Erlang è un linguaggio di
programmazione per sistemi concorrenti/distribuiti (www.erlang.org)
utilizzato principalmente per implementare servizi di rete altamente
performanti, quali http server, chat server, ed anche jabber server, fra
cui beam; come puoi vedere da sopra beam è connesso a epmd (in modo da
poter dividere/bilanciare il carico di lavoro con altri eventuali nodi
attivi nella rete, il portmapper fa da intermediario diciamo); comunque
venendo al sodo è un FALSO POSITIVO (viene confuso con un servizio
maligno che bindshell che ascolta sulla 4369). Fai una ricerca su google
con epmd e chkrootkit se vuoi approfondire, dovresti trovare
segnalazioni di bug e simili.
L'unica questione è: Hai un server jabber installato sul computer, può
benissimo servire per una rete di messaggistica istantanea interna in un
lab o una piccola azienda, tu lo utilizzi effettivamente?
ciao,
--
Marco
=====
As Variety strives to Infinity,
it becomes Uniformity.
Variety is a good approximation of Truth.
Maggiori informazioni sulla lista
ubuntu-it