[Tech] rootkit su win ?

Leonardo Boselli leo@dicea.unifi.it
Ven 1 Ago 2003 12:33:54 CEST


On 1 Aug 2003, at 10:05, Marco Ermini wrote:
> > esiste per nt un equivlente del NMAP per capire chi e dove ha
> > messo il worm ?
> nmap NON e' un rootkit. E' un semplice scanner di porte. Non ti potra'
> mai dire chi ha messo questo worm, ma solo quali macchine rispondono
> alla porta 4444

infatti mi ero sbagliato, cio`che mi serviva era lsof ... che poi ho 
trovato e mi ha fatto capire dove era il problema.
a proposito: l'untore sembra provenire dalla cornell university, visto 
che era collegato sulla porta incriminata e stamani guardando i log 
di un'altra macchina con un indirizzo adiacente vedo un tentativo di 
ingresso 8 minuti prima che partisse il trojan ... dallo stesso IP !

--
Leonardo Boselli
Nucleo informatico e Telematico 
Dipartimento Ingegneria Civile
Universita` di Firenze
Via Santa Marta 3
I-50139 Firenze
+39 055-4796-431
+39 348-8605-348
fax 055-495-333



Maggiori informazioni sulla lista flug-tech