Retrouver le nom d'un daemon

Le
Doug713705
Bonour à toutes, tous,

Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.

~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*

State PID/Program name
LISTEN -

Or, je n'ai aucune idée du programme qui ouvre ce port :
- netstat ne me dit rien, même pas le PID de ce programme,
- Google ne trouve rien de particulier concernant l'utilisation de
ce port
- Une connexion telnet ne renvoie rien (ou presque, juste un caractère
cabalistique à la connexion).
- inetd ne semble pas être responsabe (aucune entrée dans inetd.conf).

Suite à la connexion telnet, j'ai une entrée dans /proc/net/tcp mais je
suis pas convaincu que cela puisse me servir (d'autant que je ne sais
pas l'interpréter plus que ça).

Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?

Merci d'avance.

--
Fais moi une place dans ton linceul, quand y'en pour un y'en a pour
deux. Fais moi une place dans ton linceul, pour un coup de dent, je
t'arrache les yeux. (H.F.T. Scènes de panique tranquille)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #22348401
Doug713705 wrote in message
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.

~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*

State PID/Program name
LISTEN -

Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?



Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu
cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle
commencera par quelque chose du style :

00000000:4001

(4001 est 16385 en hexadécimal)

Un des champs est le numéro d'inode de la socket correspondante. Avec ma
version du noyau, c'est le dixième. C'est un grand nombre en décimal.

Ensuite, tu cherches dans les différents /proc/*/fd la socket qui pointe
vers cet inode :

lrwx------ 1 cigaes cigaes 64 Jul 12 12:09 3 -> socket:[55215731]
olafkewl
Le #22348501
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,

Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.

~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*

State PID/Program name
LISTEN -

Or, je n'ai aucune idée du programme qui ouvre ce port :
- netstat ne me dit rien, même pas le PID de ce programme,
- Google ne trouve rien de particulier concernant l'utilisation de
ce port
- Une connexion telnet ne renvoie rien (ou presque, juste un caractère
cabalistique à la connexion).
- inetd ne semble pas être responsabe (aucune entrée dans inetd.conf).

Suite à la connexion telnet, j'ai une entrée dans /proc/net/tcp mais je
suis pas convaincu que cela puisse me servir (d'autant que je ne sais
pas l'interpréter plus que ça).

Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?

Merci d'avance.





Est ce qu'un 'lsof -i:16385' te donne des infos ?
Doug713705
Le #22348491
Le 12/7/2010 12:13 dans fr.comp.os.linux.configuration Nicolas George
nous expliquait:

Doug713705 wrote in message
Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.

~# netstat -anptu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
tcp 0 0 0.0.0.0:16385 0.0.0.0:*

State PID/Program name
LISTEN -

Comment faire pour retrouver le responsable et lui couper la tête si
nécessaire ?



Tu peux essayer de reproduire à la main ce que fait netstat : d'abord, tu
cherches dans /proc/net/tcp la ligne qui correspond à ce port. Elle
commencera par quelque chose du style :

00000000:4001

(4001 est 16385 en hexadécimal)



J'y avais bien pensé mais c'est la suite qui coince.

Un des champs est le numéro d'inode de la socket correspondante. Avec ma
version du noyau, c'est le dixième. C'est un grand nombre en décimal.



~# cat /proc/net/tcp
sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode
0: 00000000:4001 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 401 1 ffff88007efd0000 299 0 0 2 -1

Ensuite, tu cherches dans les différents /proc/*/fd la socket qui pointe
vers cet inode :



/me tente la méthode barbare (à corriger si nécessaire):

# ls -ailR /proc/ 2>/dev/null | grep socket | grep 401
:~#

Gasp !

M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis
au bord du reboot !

Par ailleurs, cela fait maintenant 2 heures que les connexions telnet
vers ce daemon mystérieux sont en CLOSE_WAIT alors que j'aavais fermé
proprement les connexions avec un beau ^] qui m'a bien rendu la main
comme il se doit.

--
"Allô SOS Amitié, Allô SOS Amitié ? Excusez-moi de vous déranger mais
si j'peux encore vous causer, c'est qu' mon pétard est enrayé. Allô SOS
Amitié, Allô SOS Amitié ? Je crois bien qu'ça vient du chargeur. Est-ce
que vous pouvez m'envoyer assez rapidement le dépanneur ? (H.F.T.
Taxiphonant d'un pack de Kro)
Doug713705
Le #22348481
Le 12/7/2010 12:40 dans fr.comp.os.linux.configuration olafkewl nous
expliquait:

Est ce qu'un 'lsof -i:16385' te donne des infos ?



Pas bête, je n'y avais pas pensé mais résultat négatif.
Rien en sortie.
--
Je sais que, désormais, vivre est un calembour. La mort est devenue un
état permanent. Le monde est aux fantômes, aux hyènes et aux vautours.
(H.F.T. Alligator 427)
Doug713705
Le #22348561
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous
expliquait:

M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis
au bord du reboot !



Bon, après reboot, le port est toujours ouvert (les connexions en
CLOSE_WAIT ont bien évidemment disparues).

--
Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage
pour les Galapagos.", et je te dis "Reviens on s'en va mon amour,
recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto
Cha)
Doug713705
Le #22348551
Le 12/7/2010 12:41 dans fr.comp.os.linux.configuration Doug713705 nous
expliquait:

M'est avis qu'il y a quelque chose qui est coincé quelquepart et je suis
au bord du reboot !



Bon, après reboot, le port est toujours ouvert (les connexions en
CLOSE_WAIT ont bien évidemment disparu).

--
Et je te dis "Reviens maintenant c'est mon tour de t'offrir le voyage
pour les Galapagos.", et je te dis "Reviens on s'en va mon amour,
recoller du soleil sur nos ailes d'albatros". (H.F.T. Loreleï Sébasto
Cha)
Nicolas George
Le #22348541
Doug713705 wrote in message
Bon, après reboot, le port est toujours ouvert



C'est inquiétant. Si tu bootes en init=/bin/sh, est-ce qu'il l'est
toujours ? (Il faut bien sûr monter /proc pour que netstat marche.)
xtof pernod
Le #22348531
Le 12/07/2010 12:40, olafkewl a fait rien qu'à écrire:
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,

Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.

(...)





Angoissant, ça, quand même..


Est ce qu'un 'lsof -i:16385' te donne des infos ?




Et un 'fuser -n tcp 16385 -v' ?

--
christophe.
Doug713705
Le #22348601
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration xtof pernod nous
expliquait:

Le 12/07/2010 12:40, olafkewl a fait rien qu'à écrire:
Le 12/07/2010 11:52, Doug713705 a écrit :
Bonour à toutes, tous,

Ce matin en faisant un simple netstat -anptu je me suis aperçu qu'à
l'insu de mon plein gré le port tcp 16385 de ma machine était ouvert.

(...)





Angoissant, ça, quand même..



Comme tu dis.


Est ce qu'un 'lsof -i:16385' te donne des infos ?




Et un 'fuser -n tcp 16385 -v' ?



Pas mieux, sortie vide.

--
Et nous avions des gueules à briser les miroirs, à ne montrer nos yeux
que dans le contre-jour. Mais entre deux délires, entre deux idées
noires, nous étions les plus beaux, nous vivions à rebours. (H.F.T.
Exil sur planète fantôme)
Doug713705
Le #22348771
Le 12/7/2010 12:59 dans fr.comp.os.linux.configuration Nicolas George
nous expliquait:

Bon, après reboot, le port est toujours ouvert



C'est inquiétant.



Pour le moins !

Si tu bootes en init=/bin/sh, est-ce qu'il l'est
toujours ?



Oui, c'est le seul qui reste et toujours avec le même numéro d'inode
mais toujours impossible de mettre la main sur la socket correspondante.

chkrootkit n'a rien trouvé.

--
Reprends tes walkyries pour tes valseurs maso ,mon cheval écorché
m'appelle au fond d'un bar. Et cet ange qui me gueule : "viens chez
moi, mon salaud" m'invite à faire danser l'aiguille de mon radar.
(H.F.T. Les dingues et les paumés)
Publicité
Poster une réponse
Anonyme