Hallo,
ich wollte mal fragen, ob mein server gehackt wurde, wenn ich beim nmap scan von zuhause "445/tcp filtered microsoft-ds" fuer die Box vorfinde, aber sockstat (mittels sockstat -4 oder auch sockstat | grep -i 445) mir keinen listening port preisgibt.
Das komische ist, bis auf ein squirrelmail interface (das öffentlich auch nicht gerade leicht zu entdecken ist), ist da kein php-zeug, und sshd, lighttpd und postfix vertraue ich dann doch. die sind auch alle aktuell.
kann es für den output von nmap noch einen anderen grund geben?
ich finde auf dem system für einen einbruch halt sonst gar keine anzeichen, das einzige was sein könnte, wäre ein bsd-kernelrootkit (nix anders könnte nen einbruch so gut verdecken, hab echt alles abgesucht ...)
ich wollte mal fragen, ob mein server gehackt wurde, wenn ich beim nmap scan von zuhause "445/tcp filtered microsoft-ds" fuer die Box vorfinde, aber sockstat (mittels sockstat -4 oder auch sockstat | grep -i 445) mir keinen listening port preisgibt.
Das komische ist, bis auf ein squirrelmail interface (das öffentlich auch nicht gerade leicht zu entdecken ist), ist da kein php-zeug, und sshd, lighttpd und postfix vertraue ich dann doch. die sind auch alle aktuell.
kann es für den output von nmap noch einen anderen grund geben?
ich finde auf dem system für einen einbruch halt sonst gar keine anzeichen, das einzige was sein könnte, wäre ein bsd-kernelrootkit (nix anders könnte nen einbruch so gut verdecken, hab echt alles abgesucht ...)