hello
je viens de voir sur ma debian jessie que j'ai un port ouvert en écoute tcp mais associé à aucun pid.
netstat -lntp
tcp 0 0 0.0.0.0:51149 0.0.0.0:* LISTEN -
quand je lui cause il me répond :
telnet 0.0.0.0 51149
Trying 0.0.0.0...
Connected to 0.0.0.0.
Escape character is '^]'.
Connection closed by foreign host.
mais in n'apparaît pas avec lsof :
lsof -i :51149
je pensais m'être fait infecté mais ni rkhunter ni chkrootkit ne trouve quoi que ce soit. J'ai filtré le port avec iptables mais il change à chaque reboot.
par contre sur une debian fraîchement installé je n'ai pas ça.
Une idée ?
merci pour votre aide.
oau
# essaie en root ou avec sudo
Posté par NeoX . Évalué à 2.
alors qu'en SUDO on a plus d'info
[^] # Re: essaie en root ou avec sudo
Posté par oau . Évalué à 1.
oui bien sur tout les commandes sont en root. Mais nlienard à raison on a trouvé c'est le client NFS. Mais ca ne me dit pourquoi le client nfs ouvre un port qui n'est lié à aucun process
[^] # Re: essaie en root ou avec sudo
Posté par nlienard . Évalué à -1.
si t'étais sous FreeBSD; t'aurais pas ce genre de souci.
FREEBSD FOREVER !
/troll
[^] # Re: essaie en root ou avec sudo
Posté par moulator42 . Évalué à 1. Dernière modification le 18 novembre 2015 à 16:59.
Supprimé
[^] # Re: essaie en root ou avec sudo
Posté par Cyril Brulebois (site web personnel) . Évalué à 5.
Cela ressemble à une « NFSv4 callback socket », ça semble implémenté dans le noyau Linux (cf.
fs/nfs/callback.c), ce qui expliquerait l'absence de PID.Un paramètre
clientaddr=est documenté dansnfs(5), ce qui semblerait correspondre.Debian Consultant @ DEBAMAX
# NFS
Posté par nlienard . Évalué à 4.
C'est ton client NFS !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.