질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

이거 해킹 아닌가요?

작성자 정보

  • 박상철 작성
  • 작성일

컨텐츠 정보

본문

[root@www bin]# nmap localhost

Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-01-19 21:35 KST
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1640 ports scanned but not shown below are in state: closed)
PORT      STATE SERVICE
1/tcp     open  tcpmux
11/tcp    open  systat
15/tcp    open  netstat
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
79/tcp    open  finger
80/tcp    open  http
110/tcp   open  pop3
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
540/tcp   open  uucp
635/tcp   open  unknown
783/tcp   open  spamassassin
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  callbook
3306/tcp  open  mysql
6667/tcp  open  irc
8009/tcp  open  ajp13
8080/tcp  open  http-proxy
12345/tcp open  NetBus
12346/tcp open  NetBus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11
54320/tcp open  bo2k

Nmap finished: 1 IP address (1 host up) scanned in 0.116 seconds

# portsentry 가동중 입니다.

Netbus, bo2k ----> 이거 해킹 당한것 같은데

재 설치 외에는 방법이 없나요.

관련자료

댓글 2

박상철님의 댓글

  • 박상철
  • 작성일
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient, /usr/local/bin/snort)
eth1: not promisc and no PF_PACKET sockets
참고로 ./chkrootkit 를 실행해 보았습니다.

김용수님의 댓글

  • 김용수
  • 작성일
netbus troyan이네요.

일단 해당 포트 막아주시구요.
netbus,bo2k 찾아서 삭제 처리 해주세요

검색사이트에서 netbus로 검색해보시면, 여러가지 정보들이 나옵니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,030 명
  • 현재 강좌수 :  35,756 개
  • 현재 접속자 :  74 명