Porta TCP in listen senza nessun processo associato (rootkit o che altro?)

[Fabio Napoleoni]

Stavo controllando una cosa con netstat quando mi sono accorto che 
c'erano alcune porte in listen che non conoscevo e su cui volevo 
indagare per capire a quali processi fossero associate. Ho fatto alcune 
ricerche su google su come risalire ai pid partendo dalle porte aperte e 
tutti i risultati che ho trovato portano a 3 comandi: fuser, netstat 
(con lo switch -p) oppure lsof. Le due porte che mi incuriosivano erano 
nello specifico la 47466 e la 36029. Per una di esse ho scoperto che si 
trattava di statd (in quanto la macchina monta un filesystem remoto via 
nfs) mentre per la seconda non ho trovato soluzione.

Questo è l'output dei comandi che dicevo:
host11:/home/fabio# netstat -ltnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address 
State       PID/Program name
tcp        0      0 0.0.0.0:10050           0.0.0.0:* 
LISTEN      2964/zabbix_agentd
tcp        0      0 0.0.0.0:47466           0.0.0.0:* 
LISTEN      8867/rpc.statd
tcp        0      0 0.0.0.0:3690            0.0.0.0:* 
LISTEN      8840/inetd
tcp        0      0 0.0.0.0:3306            0.0.0.0:* 
LISTEN      2484/mysqld
tcp        0      0 0.0.0.0:111             0.0.0.0:* 
LISTEN      8847/portmap
tcp        0      0 0.0.0.0:22              0.0.0.0:* 
LISTEN      2394/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:* 
LISTEN      2931/master
tcp        0      0 0.0.0.0:36029           0.0.0.0:* 
LISTEN      -
tcp6       0      0 :::80                   :::* 
LISTEN      12670/apache2
tcp6       0      0 :::22                   :::* 
LISTEN      2394/sshd
tcp6       0      0 :::443                  :::* 
LISTEN      12670/apache2

host11:/home/fabio# lsof -b -n -i4tcp:36029
host11:/home/fabio# lsof -b -n -i4tcp:47466
COMMAND    PID  USER   FD   TYPE   DEVICE SIZE NODE NAME
rpc.statd 8867 statd    9u  IPv4 25002505       TCP *:47466 (LISTEN)

host11:/home/fabio# fuser -n tcp 47466
47466/tcp:            8867
host11:/home/fabio# fuser -n tcp 36029

Per cui sembrerebbe che alla porta 36029 non è associato nessun 
processo, il che mi fa alquanto preoccupare, non vorrei fosse una sorta 
di rootkit o qualche porcheria del genere.

Facendo telnet sulla porta in questione riesco a connettermi, ma 
qualsiasi cosa scriva non ricevo nessuna risposta

host11:~# telnet localhost  36029
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.

Su una macchina gemella (con servizi simili avviati) trovo la stessa 
cosa, ma con un numero di porta diverso, in questo caso la 56909:

host12:/home/fabio# netstat -ltnp | grep 56909
Proto Recv-Q Send-Q Local Address           Foreign Address 
State       PID/Program name
tcp        0      0 0.0.0.0:56909           0.0.0.0:* 
LISTEN      -

Entrambe hanno Debian Lenny aggiornata alle ultime versioni.

Grazie per l'aiuto.

--
Fabio Napoleoni
f.napole...@email.it

****************************************************************
 "Computer Science is no more about computers than astronomy is
 about telescopes"
                                             Edsger W. Dijkstra
****************************************************************


--
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org