[Sysadmins] Подозрение на вторжение?

Вт Окт 14 18:16:48 UTC 2008

Система -- ALT Linux Server 4.0

Извиняюсь за, возможно, ламерский вопрос, но недавно был обнаружен
взлом сервера. Кое-что удалось почистить с помощью netstat/lsof, но
даже после этого nmap выдает:

PORT     STATE    SERVICE
135/tcp  filtered msrpc
136/tcp  filtered profile
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
8000/tcp filtered http-alt

Конкретно взлом был обнаружен на порту 8000, соответствующий сервис
был обнаружен через netstat и прибит, результат проверен через telnet.
Теперь ни по этому ни по остальным портам netstat -anp и lsof -i
никакой информации не дают.

Странно и то, что локальный nmap этих портов не показывает, их можно
увидеть только извне.

Вопрос: это особенности, или в системе таки еще живет какая-то
гадость? Если последнее, то что это может быть и как это можно
отловить?

Еще раз извиняюсь за, возможно, глупые вопросы.