Garip dinleme portu


0

Sistemlerimden birini denetleyerek, yerel ana istasyonda, 52698 numaralı bağlantı noktasını dinlemeyen bir işlem buldum.

# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      972/sshd        
tcp        0      0 127.0.0.1:52698         0.0.0.0:*               LISTEN      13940/0         
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      1043/nrpe       
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1128/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      616/rpcbind     
tcp6       0      0 :::22                   :::*                    LISTEN      972/sshd        
tcp6       0      0 ::1:52698               :::*                    LISTEN      13940/0         
tcp6       0      0 :::443                  :::*                    LISTEN      2354/apache2    
tcp6       0      0 :::111                  :::*                    LISTEN      616/rpcbind     
tcp6       0      0 :::80                   :::*                    LISTEN      2354/apache2 

/ Proc içindeki işlem hakkında bilgi almaya çalışırken, şunu anladım:

/proc/13940# ls -l exe
lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd

/proc/13940# cat cmdline 
sshd: ubuntu@pts/0

Görünüşe göre sshd işlemi bunu bir nedenden dolayı açtı. Bu normal mi? Neden sshd bu dinleme portunu açıyor?

Yanıtlar:


2

Olabilir uzaktan port yönlendirme . Birisi -Rsisteminize girerken bayrak kullandı . Bakınız man ssh:

-R [bind_address:]port:host:hostport
Uzak (sunucu) ana bilgisayarda verilen bağlantı noktasının, yerel sunucudaki belirli ana bilgisayara ve bağlantı noktasına iletileceğini belirtir. Bu dinlemek için bir soket ayırarak çalışır port uzak tarafında ve bağlantı bu bağlantı noktasına yapıldığında, bağlantı güvenli bir kanal üzerinden gönderilir ve bir bağlantı yapılır ev sahipliği liman hostport yerel makineden.

Not: UDP ile değil, TCP bağlantı noktalarıyla çalışır.

Bence tüneli yaratan kullanıcının da sahibi /proc/13940. Daha fazla araştırmanız gerekirse, bu bir ipucu.


0

Bu özel durumda, ben X11 iletme olduğunu düşünüyorum. -X veya -Y bayraklarını veya .ss / config içindeki karşılık gelen seçenekleri kullanarak etkinleştirmiş olmalısınız. Sadece devre dışı bırakıp tekrar giriş yapmayı deneyin ve çoğu zaman bunun gideceğinden eminim.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.