процесс zbind. что это?

0

0

сегодня заметил на сервере процесс zbind слушающий tcp port 4000. поискав еще не много нашел следующее:

root@web:/var/tmp/.a# ls -l * -rw-r--r-- 1 nobody nobody 10141 Dec 26 17:42 za.tgz

za: total 36 -rwxr-xr-x 1 nobody nobody 18907 Jul 15 2002 zbind* -rwxr-xr-x 1 nobody nobody 14698 Jul 12 2002 zero*

на сервере работает апач. работает от юзера nobody. проверка md5 по всей файловой системе никаких руткитов не выявила. поиск на гугле тоже ничего не дал. вопрос - что это? кто-то такое видел? может я какую-то секьюрити новость пропустил? спасибо

Ссылка

←	Sendmail и внутренние адреса

Подскажите, где задается минимальная длина пароля?

→

Действительно интересно. А какой у тебя дистрибутив? А после перезагрузки сервера, этот процесс восстанавливается? Никита Андреев

anonymous
(16.05.03 09:15:24 MSD)

Ссылка

А telnet localhost 4000 чего говорит интересно ? :-)
Как-то все это подозрительно выглядит...

spirit ★★★★★
(16.05.03 15:29:58 MSD)

Ссылка

Я тут как-то недавно нашел на машинке у знакомого /usr/bin/klogd, запускавший родной klogd и вешавшийся на некий tcp порт. Методом strings/strace выяснилось достаточно быстро, что при telnet на тот порт и вводне некой последовательности символов "klogd" отдавал рутовый шелл. Это присказка, а суть в том, что пора учиьтся читать логи, ставить tripwire и менять ключи/пароли.

anonymous
(16.05.03 19:02:22 MSD)

Ссылка

а какая разница какой дистрибутив? slackware. перегружать рабочий сервер не хочется, но в стартап скриптах я его не нашел. выглядит это более чем подозрительно. когда ты телнетишься на тот порт, ты получаешь шелл того юзера под которым этот демон запущен. веселуха. рутом правда стать не пытается. теперь главный вопрос - каким образом его туда могли записать и запустить. сделано это явно через апач. на сервере нет других процессов работающих от nobody кроме апача. и нет других открытых портов кроме 80 и 443. апач был 1.3.26, php 4.3.1, openssl 0.9.6g. есть идеи?

massaraksh ★
(16.05.03 22:55:34 MSD) автор топика