Отправляет email-рассылки с помощью сервиса Sendsay

[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD

Подписаться Бесплатный дискуссионный лист Подписчиков 788
  Ноябрь 2004  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
21.11.2004
21:36:03
21:51:59
22
23
24
25
25.11.2004
10:07:45
22:51:44
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт листа: http://www.linuxrsp.ru
Открыт: 04-03-2004
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.bsd.all-list@subscribe.ru
Адрес модератора: comp.soft.bsd.all-owner@subscribe.ru

Модератор
Фёдор Сорекс

Статистика

788 подписчиков
0 за неделю

Левые процессы?

Здравствуйте ВСЕ!
У меня на FreeBSD 4.4 в процессах висит следующий зверь:
nobody 1290 0.0 0.1 624 232 ?? I 2:29PM 0:00.00 sh -c /usr/libexec/telnetd
-p /bin/sh -debug 2233
nobody 1291 0.0 0.4 2268 972 ?? I 2:29PM 0:00.02 /usr/libexec/telnetd
-p /bin/sh -debug 2233

Откуда он мог взяться? Если срубить оба этих процесса через kill -9,
то они тут же появляются с другими пидами.

С уважением, Макс.

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.bsd.all
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru?subject=comp.soft.bsd.all

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить  
max
Fri, 19 Nov 2004 14:30:09 +0700 (#267435)

 

Ответы:

backdoor ?

--
Если что, я хороший, они плохие. :)
kuzik_s***@k*****.ua :: Kuzik V.Andrew
GSM +380675329075 :: ICQ 345641182
Не так страшен тибетский танк, как его просветленный экипаж

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.bsd.all
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru?subject=comp.soft.bsd.all

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить  
"Andrew V. Kuzik"
Fri, 19 Nov 2004 14:28:28 +0200 (EET) (#267457)

 

Привет!

Да кто угодно может запускать любой процесс... А про inetd тебе что-нибудь
известно?
Cмотри /etc/rc.conf, inetd.conf

Сергей

Original Message From: "max" <max@v*****.ru>
To: "comp.soft.bsd.all (4228767)" <serg***@i*****.ru>
Sent: Friday, November 19, 2004 10:30 AM

Здравствуйте ВСЕ!
У меня на FreeBSD 4.4 в процессах висит следующий зверь:
nobody 1290 0.0 0.1 624 232 ?? I 2:29PM 0:00.00 sh -c
/usr/libexec/telnetd
-p /bin/sh -debug 2233
nobody 1291 0.0 0.4 2268 972 ?? I 2:29PM 0:00.02
/usr/libexec/telnetd
-p /bin/sh -debug 2233

Откуда он мог взяться? Если срубить оба этих процесса через kill -9,
то они тут же появляются с другими пидами.

С уважением, Макс.

http://subscribe.ru/ http://subscribe.ru/feedback

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.bsd.all
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru?subject=comp.soft.bsd.all

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить   "Serg Rencas" Fri, 19 Nov 2004 15:31:24 +0300 (#267461)

 

Доброго времени суток.

On Fri, 19 Nov 2004 15:31:24 +0300
"Serg Rencas" <serg***@i*****.ru> wrote:

Имхо, проще mc'шкой в /etc и /usr/local/etc поискать файлы, содержащие текст
telnetd.

Ответить  
Rygoravich
Sat, 20 Nov 2004 15:17:18 +0200 (#267861)

 

On Sat, Nov 20, 2004 at 03:17:18PM +0200, Rygoravich wrote:

1) Искать всё же лучше grep -R, а не обзаводится вредными привычками.
2) Если б вламывался я - фиг бы ты чего в /etc и /usr/local/etc нашёл подозрительного.

SY, Alex

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.bsd.all
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru?subject=comp.soft.bsd.all

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить   Alex Semenyaka Tue, 23 Nov 2004 17:28:54 +0300 (#269194)

 

On Fri, Nov 19, 2004 at 02:30:09PM +0700, max wrote:

С хорошей вероятностью тебя взломали (и то сказать, не стыдно до сих под 4.4
держать?).
ps -o pid,ppid,command | grep telnetd скажет тебе pid родителя этих процессов
-
посмотришь, кто пустил sh такой, дальше - ищи откуда...
Вообще тебе man ps должен крепко помочь в жизни...

SY, Alex

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.bsd.all
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru?subject=comp.soft.bsd.all

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить   Alex Semenyaka Fri, 19 Nov 2004 15:10:16 +0300 (#267477)

 

Доброго времени суток.

On Fri, 19 Nov 2004 15:10:16 +0300
Alex Semenyaka <al***@s*****.ru> wrote:

Кстати, вопрос по теме... В Linux мне сильно облегчает жизнь команда pstree.
В фришке ее не обнаружил, глянул, какому пакету она принадлежит в Линуксе (psmisc),
поискал psmisc в портах и не обнаружил... Может он там как-нибудь по-другому
называется или нужно просто собирать из исходников?

Ответить  
Rygoravich
Sat, 20 Nov 2004 15:20:32 +0200 (#267863)

 

On Sat, Nov 20, 2004 at 03:20:32PM +0200, Rygoravich wrote:

sysutils/pstree в портах.

SY, Alex

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.bsd.all
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru?subject=comp.soft.bsd.all

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить   Alex Semenyaka Tue, 23 Nov 2004 17:29:56 +0300 (#269195)

 

Hello max,

Friday, November 19, 2004, 12:30:09 PM, you wrote:

Очень похоже, что тебя поимели... вообщем какой то шел у тебя торчит
на 2233/tcp порту!
Смотри pid родителя, кто запускает...

Ответить   Artem Batalov Sat, 20 Nov 2004 00:37:37 +0500 (#267747)

 

Hello Artem,

Saturday, November 20, 2004, 2:37:37 AM, you wrote:

Меня действительно поимели. Спасибо всем, кто поучаствовал (в поимении:-))

Ответить  
max
Sun, 21 Nov 2004 16:42:55 +0700 (#267976)