Rootkit sur le port 60001!? Tiger le dit - comment vérifier?

Question

Mon système est un Ubuntu 13.10 à jour

J'ai installé Tiger et je reçois ça

# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks... OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system OLD: INFECTED (PORTS: 60001)

Quoi?!

J'ai aussi essayé rkhunter: ne trouve vraiment rien directement, voici les avertissements assortis

/usr/bin/unhide.rb [ Warning ] Checking for passwd file changes [ Warning ] Checking for group file changes [ Warning ] Checking /dev for suspicious file types [ Warning ] Checking for hidden files and directories [ Warning ]

Il y a aussi la chose suckit (décrite dans un autre fil ici http://ubuntuforums.org/showthread.php?t=1680428 ), mais cela a été exclu comme un bug.

Regarder

netstat -ltnp

Il n'y a rien sur ce port là, enfin pas maintenant de toute façon.

Comment vérifier cela? Comment dois-je procéder ??

user267640 · Answer

Chaque fois que vous voulez voir quel processus maintient un port ouvert, utilisez la commande lsof. Pour un port tcp, utilisez lsof -i tcp: 80 et pour un port udp, utilisez lsof -i udp: 53. Les informations fourniront toutes les informations dont vous avez besoin pour traiter le nom, le pid et la propriété. Par exemple:

cyberfarer@Quadraphenia:~$ Sudo lsof -i tcp:80 [Sudo] password for cyberfarer: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME Apache2 2723 root 3u IPv4 16241 0t0 TCP *:http (LISTEN) Apache2 2751 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN) Apache2 2752 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN) Apache2 2753 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN) Apache2 2754 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN) Apache2 2755 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)

Rapide, facile et sans défilement ni déchiffrement inutiles.