포트 사용하는 데몬..해석좀..

find / -name ".rcinit" 로 해당 파일을 찾아내어

strings .rcinit 등으로 살펴보고

백도어 인지 판단 해보십시오.

맞다면 chkroot 등으로 백도어나 변조된 파일들이 있는지 체크 해보세요

일반적으로 1024번 포트에 LISTEN이 뜰일이 없을껍니다.

영이 님의 글

[08:50:37] [root@ns /usr/sbin]#./lsof |grep LISTEN
xinetd      407  root    3u  IPv4        455                   TCP *:pop3 (LISTEN)
named       422  root   21u  IPv4        482                   TCP ns.leeslab.com:domain (LISTEN)
named       422  root   23u  IPv4        484                   TCP ns.leeslab.com:domain (LISTEN)
sshd        437  root    3u  IPv4        509                   TCP *:ssh (LISTEN)
sendmail    465  root    4u  IPv4        561                   TCP *:smtp (LISTEN)
sendmail    465  root    5u  IPv4        562                   TCP *:587 (LISTEN)
.rcinit     499  root    3u  IPv4        655                   TCP *:1024 (LISTEN)

* 포트에 물린 서비스가 위에서처럼.. 있는데..요..

의심가는 것이.. sendmail 이 잡고 있는 포트가 두개인데...587번 쪽이 이상한듯 한데..

글구... .rcinit 물고 있는 1024 번이랑.. 백도어 프로그램일까요...

조언좀 부탁드립니다.