Как проверить Linux-сервер на предмет взлома, если закрались какие либо подозрения.
Но сразу скажу что все зависит от квалификации злоумышленника и значимости ресурса.
По крайне мере думаю,что для многих это будет полезно и познавательно. Для начало сканируем с другого хоста что у нас открыто из подозрительных открытых портов, при помощиутилиты nmap:
Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for host (XXX.XXX.XXX.XXX)
Host is up (0.0066s latency).
Not shown: 65499 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
1723/tcp open pptp
... ...
Starting Nmap 4.62 ( http://nmap.org )
Interesting ports on localhost (127.0.0.1):
Not shown: 65495 closed ports
PORT STATE SERVICE
21/tcp open ftp
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
443/tcp open https
665/tcp open unknown
953/tcp open rndc
... ....
И вот у нас появился 665/tcp unknown, что это я ни представляю, но он висит на localhost'e и поэтому угрозы не проставляет,но на его примере рассмотрим наши дальнейшие действия, смотрим, кто его слушает:
Оставьте комментарий!