[Tech] rootkit su win ?
Leonardo Boselli
leo@dicea.unifi.it
Ven 1 Ago 2003 12:33:54 CEST
On 1 Aug 2003, at 10:05, Marco Ermini wrote:
> > esiste per nt un equivlente del NMAP per capire chi e dove ha
> > messo il worm ?
> nmap NON e' un rootkit. E' un semplice scanner di porte. Non ti potra'
> mai dire chi ha messo questo worm, ma solo quali macchine rispondono
> alla porta 4444
infatti mi ero sbagliato, cio`che mi serviva era lsof ... che poi ho
trovato e mi ha fatto capire dove era il problema.
a proposito: l'untore sembra provenire dalla cornell university, visto
che era collegato sulla porta incriminata e stamani guardando i log
di un'altra macchina con un indirizzo adiacente vedo un tentativo di
ingresso 8 minuti prima che partisse il trojan ... dallo stesso IP !
--
Leonardo Boselli
Nucleo informatico e Telematico
Dipartimento Ingegneria Civile
Universita` di Firenze
Via Santa Marta 3
I-50139 Firenze
+39 055-4796-431
+39 348-8605-348
fax 055-495-333
Maggiori informazioni sulla lista
flug-tech