hi there

ein "nmap localhost" gibt folgendes aus:
111/tcp open sunrpc
119/tcp open nntp
143/tcp open imap2
515/tcp open printer
540/tcp open uucp
631/tcp open ipp
635/tcp open unknown
1080/tcp open socks
1234/tcp open hotline
1524/tcp open ingreslock
2000/tcp open callbook
6667/tcp open irc
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k

wie kann ich diese (vor allem die mit den hohen nummern) schliessen ? ich vermute es sind ein paar trojaner darunter.

thx im voraus

sowies ausschaut hast du wohl portsentry laufen

welche distri verwendest du ?

musst halt deine dienste diest nicht brauchst stoppen

portsentry macht die ganzen trojaner ports auf um port scans zu entdecken

Falls Dienste laufen sollen kannst du diese in /etc/inetd.conf auskommentieren, dann werden sie nicht mehr gestartet.

Falls du einen Trojaner vermutest solltest du einen Check mit chkrootkit machen.

hallo!

schau mal mit "lsof -Pni | grep LISTEN" nach, was da alles hört.

//richard

hi @ll

Weihnachtsmann hatte recht da war Portsentry am laufen und hat alle ports geoeffnet.

vielen Dank