Применение Fport
Программа Fport помогает определить, была ли машина взломана и откуда пришел нарушитель. Она должна выполняться на живой системе, то есть включенной и работающей: Fport не может выполняться на статических данных.
Для запуска Fport в каталоге с исполнимым файлом введите в командной строке fport. Будет распечатан список всех портов, открытых в данный момент, и ассоциированных с ними приложений (листинг 11.1).
Port v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com
Pid Process Port Proto Path 940 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe 4 System -> 139 TCP 4 System -> 445 TCP 1348 WCESCOMM -> 990 TCP C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE 4072 WCESMgr -> 999 TCP C:\Program Files\Microsoft ActiveSync\WCESMsg.exe 1032 svchost -> 1025 TCP C:\WINDOWS\System32\svchost.exe 1032 svchost -> 1031 TCP C:\WINDOWS\System32\svchost.exe 1032 svchost -> 1034 TCP C:\WINDOWS\System32\svchost.exe 4 System -> 1042 TCP 4072 WCESMgr -> 2406 TCP C:\Program Files\Microsoft ActiveSync\WCESMgr.exe 2384 websearch -> 3008 TCP C:\Program Files\websearch\websearch.exe 1144 -> 54321 TCP C:\temp\cmd.exe 4072 WCESMgr -> 5678 TCP C:\Program Files\Microsoft ActiveSync\WCESMgr.exe 2384 websearch -> 8755 TCP C:\Program Files\websearch\websearch.exe 136 javaw -> 8765 TCP C:\WINDOWS\System32\javaw.exe 1348 WCESCOMM -> 123 UDP C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE 2384 websearch -> 123 UDP C:\Program Files\websearch\websearch.exe 940 svchost -> 135 UDP C:\WINDOWS\system32\svchost.exe 1144 -> 137 UDP 1932 svchost -> 1026 UDP C:\WINDOWS\System32\svchost.exe
Листинг 11.1. Выдача Fport
При просмотре этого листинга взгляд скользит по нормальным на вид выполняющимся службам и программам, пока где-то в середине не натыкается на программу cmd.exe, запущенную из каталога Temp. Это бинарный файл командного интерпретатора, и ему нечего делать в каталоге Temp. Тот факт, что у службы нет имени, также подозрителен.
Наконец, номер входного порта не соответствует ни одному из известных сервисов. На самом деле, если поискать его в базе данных известных троянских программ в Интернете (http://www.simovits.com/trojans/trojans.html), можно обнаружить совпадение с номером порта документированной троянской программы. Это служит весомым свидетельством того, что система была взломана. Теперь вы должны решить, нужно ли выключить систему, чтобы провести дополнительный судебный анализ.
В табл. 11.1 перечислено несколько опций Fport для сортировки вывода. Можно также использовать опцию -h для вывода краткой справочной информации.
-a | Сортировка вывода по имени приложения |
-ap | Сортировка вывода по маршруту приложения |
-i | Сортировка вывода по идентификатору процесса (PID) |
-p | Сортировка вывода по номеру порта. |
lsof Автор/основной контакт: Ray Show Web-сайт: http://freshmeat.net/projects/lsof/ Платформы: Linux и большинство UNIX Лицензия: GPL Рассмотренная версия: 4.68 Зеркалирующие сайты (допускающие анонимный доступ по FTP без обратного DNS): thewiretapped.net/pub/security/host-security/lsof ftp.tau.ac.il/pub/unix/admin/ |
Средство lsof предустанавливается в некоторых дистрибутивах UNIX и Linux и доступно в форме RPM на установочных дисках других, таких как Mandrake и RedHat Linux.Чтобы выяснить, установлено оно или нет, наберите lsof и посмотрите, каков будет ответ.