Вообщем тут сосвсем сумасшествие какое-то.
Дистр Ubuntu 6.06 LTS Server, Ядро 2.6.15-28.
2 порта, один TCP и один UDP так и показываются без PID.
Вид из netstat такой: tcp 0 0 0.0.0.0:22771 0.0.0.0:* LISTEN 0 10367 - udp 0 0 0.0.0.0:16384 0.0.0.0:* 0 10363 -
Сначала подумал что LKM руткит. Потом подумал - мало ли драйвер чего-то в ядре запускается. Потом подумал, что так не бывает, и после нижеследующих действий начал понимать, что это что-то очень хитрый руткит.
Действия: Скачал ядро с kernel.org 2.6.21.5
Собрал без initrd, и без поддержки модулей вообще.
После ребута, UDP порт без PID больше не появляется, но TCP порт без PID появляется в системе, причем порт всегда разный после каждой перезагрузки..
Что примечательно далее, если сеть поднимать не с помощью /etc/init.d/networking скрипта, а попозже с помощью /etc/init.d/rc.local , то этот порт не появляется и не появится даже.
Если поднимать с помощью /etc/init.d/networking, но вытащить патчкорд из сетевухи, то этот порт тоже не появляется и не появится, когда вставить обратно патчкорд.
Честно, я не видел LKM или другого типа руткитов, которые счас могут работать сразу на 2.6.21 ядре. И к тому же у меня отключена поддержка модулей в ядре, а значит это не LKM кит... Но при этом я понятия не имею, как вообще возможно спрятать свой PID из user mode режима. Да еще такая избирательность во время загрузки, в какой момент сеть поднимется или же реакция на линк - есть или нет.
На данный момент в netstat это выглядит так, вместо PID "-" А lsof -i вообще не видит.
tcp 0 0 0.0.0.0:22771 0.0.0.0:* LISTEN 0 10367 -
Что делать дальше не знаю. Но есть желание найти эту гадость, кто чем может помочь? Уже 2 недели копаюсь в системе.
chrootkit, rkhunter, zeppoo ничего не находят.
