[bglug] Bash : Strano comando e output di netstat. [lungo]

piankhy bglug@lists.linux.it
Wed, 4 Sep 2002 22:46:37 +0200


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alle 11:51, sabato 9 marzo 2002, embyte ha scritto:
> Provo a sparare qualche idea campata in aria :-)
>
> ~ #PROMPT_COMMAND='pwd>&7; kill -STOP $$' PROMPT_COMMAND='pwd>&7; kill
> ~ -STOP $$'
[cuttone]
> Questi che vedi sopra sono un cd a /dev, due a /home e due a /home/piankhy
> Poi ci sono dei reindirizzamenti di pwd sul descrittore 7 (che sarà? bella
> domanda... un socket descriptor forse? mmmhhh) e qualche segnale di SIGSTOP
> (19) (usato per fermare temporaneamente l'esecuzione di un processo ([1]+
> Stopped                 cat /dev/random)) alla shell corrente (suppongo).
>
> Chi è che ha accesso fisico a quella macchina?
Solo io (a meno che qualcuno non abbia accesso alle password).

> Non riesci a sendarmi l'HISTORY completa?
A ritroso ho dato i seguenti comandi (precedenti alle stringhe incriminate) :
exit
/usr/sbin/fetchnews -vv
rcinetd restart
telnet localhost 119
exit
ifstatus eth0
exit
rcnetwork restart
rcdhcpd restart
ifstatus eth1
ifstatus check
exit
rcinetd restart		| comandi ripetuti più volte
telnet localhost 119	|
exit  				|
./ettercap
dir
cd sbin
dir
cd /usr/local
exit
./xpowerchute (programma grafico impostazione parametri utente x ups)
./config.sh (di powerchute)
dir
cd /usr/local/bin
.........

> (la prossima volta usa anche il flag -p)
Ok e faccio ammenda..... (anche perchè così avrai tutte le info sui socket).

> Hai uno di questi servizi attivi?
Si, vedi estratto da /var/log/boot.msg che segue:
<notice>/etc/init.d/rc5.d/S08portmap start
Starting RPC portmap daemon<notice>startproc: execve (/sbin/portmap)

done

<notice>'/etc/init.d/rc5.d/S08portmap start' exits with status 0

> Dai una occhiata ai log (potrebbe essere una richiesta di listing dei
> servizi, tipo rpcinfo -> rpcinfo -p 127.0.0.1).
Esito comando rpcinfo :
programma		versione		proto		porta
100000		2			tcp		111		portmapper
100000		2			udp		111		portmapper

> Controlla anche gli ultimi log avvenuti sulla macchina e l'orario dei file
> di log.
Già fatto, ma non mi sembra ci sia nulla di anomalo.
Ho controllato /var/log/messages e /var/log/localmessages
Sto verificando /var/log/firewall e var/log/warn. Comunque gioevdì sera se sei 
al Lug ti faccio vedere tutti i log (che copierò sul portatile....)

ciao e grazie ancora. piankhy
- --
Linux User - Have a lot of fun !!!!
Gpg key fingerprint : 381A 42E0 675C 6A17 1671  62FF E0E5 2F09 8251 35B1
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9dnE34OUvCYJRNbERAntnAJ9ifrgmPir4IfCsm2vSE5QnvKZIXgCfZfoO
zWG+emPjHjl05St8LmcpB78=
=/rGb
-----END PGP SIGNATURE-----