端口 60001 上有 Rootkit!?Tiger 这么说 - 我该如何验证?

端口 60001 上有 Rootkit!?Tiger 这么说 - 我该如何验证?

我的系统是最新的 Ubuntu 13.10

我已经安装了 Tiger,但出现了此问题

# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 60001)

什么?!

我也尝试过 rkhunter:并没有直接找到任何东西,这里是各种警告

/usr/bin/unhide.rb                                       [ Warning ]
Checking for passwd file changes                         [ Warning ]
Checking for group file changes                          [ Warning ]
Checking /dev for suspicious file types                  [ Warning ]
Checking for hidden files and directories                [ Warning ]

还有 suckit 的事情(在另一个帖子中描述)http://ubuntuforums.org/showthread.php?t=1680428),但是这已被排除是一个错误。

看着

netstat -ltnp

这个端口上什么都没有,至少现在没有。

我该如何验证这一点?我该如何着手?

答案1

每当您想要查看哪个进程保持端口打开时,请使用 lsof 命令。对于 tcp 端口,请使用 lsof -i tcp:80;对于 udp 端口​​,请使用 lsof -i udp:53。该信息将提供您所需的所有信息,包括进程名称、pid 和所有权。例如:

cyberfarer@Quadraphenia:~$ sudo lsof -i tcp:80
[sudo] password for cyberfarer: 
COMMAND  PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2 2723     root    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2751 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2752 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2753 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2754 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)
apache2 2755 www-data    3u  IPv4  16241      0t0  TCP *:http (LISTEN)

快速、简单,无需不必要的滚动和解读。

相关内容