Руткит или все же postfix? Если postfix, как закрыть «лишние» порты?

Question

[Сергей]

Установил chkrootkit на сервере, ну и просканировал.
Он заругался на 465 порт: Checking `bindshell'... INFECTED (PORTS: 465)

Далее вывод некоторых команд:

netstat -an|grep 465

tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN
tcp6 0 0 :::465 :::* LISTEN

sudo lsof -i :465

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
master 31549 root 106u IPv4 255217 0t0 TCP *:urd (LISTEN)
master 31549 root 107u IPv6 255218 0t0 TCP *:urd (LISTEN)

ps 31549

PID TTY STAT TIME COMMAND
31549 ? Ss 0:32 /usr/lib/postfix/master

Похоже всё же, что этот порт использует postfix для smtp.
Если я делаю /etc/init.d/postfix stop, то порта этого не наблюдается открытым.
Как убедиться, что это именно postfix, а не руткит, который под него маскируется?
postfix только отправляет письма с сервера, где есть безопасный конфиг, который блочит все остальное и закрывает лишние порты?

Answer 1

[Александр Черных]

сам спросил-сам ответил

Похоже всё же, что этот порт использует postfix для smtp.

Comments

[Сергей]

ну похоже - это не 100% уверенность. Как убедиться, что это именно postfix, а не руткит, который под него маскируется?

Answer 2

[Андрей Буров]

ls -l /proc/31549/exe

Answer 3

[CityCat4]

Это SMTPS - SMTP over SSL.