1111 numaralı bağlantı noktası neden açık ve güvenli mi?

9

Sistem yönetiminde yeniyim ve HTTP (bağlantı noktası 80'de), HTTPS (bağlantı noktası 443'te) ve SSH (bağlantı noktası 22'de) olan bir web sitesi çalıştıran bir sunucum var.

Ubuntu 11.04 kullanıyorum.

Kişisel dizüstü bilgisayarımı ve bu 3 bağlantı noktasından başka bir Nmap bağlantı noktası taraması yaptım, 1111 bağlantı noktası da açıktı. Bu çıktı:

1111/tcp open tcpwrapped

Sonra yaptım:

sudo netstat -lntp | grep -F 1111

... ve şu çıktıyı aldım:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit, Ubuntu'da bir izleme aracı gibi görünüyor.

  • Bu konuda endişelenmeli miyim?

  • 1111 numaralı limanın amacını nasıl belirlerim?

  • Gerekirse nasıl kapatabilirim?

linux  networking  security  port  tcp 
nknj
kaynak
Nmap "tcpwrapped" olarak bildirirse, hangi hizmetin gerçekten sarıldığını görmek için /etc/hosts.allow veya /etc/hosts.deny adresine de göz atabilirsiniz.
CodeGnome
Linux'tayım. Bunu eklemek için yayını güncelleyeceğim.
nknj
@CodeGnome Bu dosyaları kontrol ettim ve her ikisi de boş (içlerindeki her şey bu dosyanın nasıl kullanılacağına dair bilgi olarak yorumlandı).
nknj
Monit ana sayfası.
CodeGnome
Bunu etkinleştirmek için bir şey yapıp yapmadığını kontrol etmek için barındırma hizmetime başvuruyorum.
nknj

Yanıtlar:

5

Bu referansa göre :

Protokol TCP 1111 bağlantı noktası bir virüs (kırmızı renkli) olarak işaretlendiğinden, bir virüsün 1111 bağlantı noktasını kullandığı anlamına gelmez, ancak bir Truva Atı veya Virüs bu bağlantıyı geçmişte iletişim kurmak için kullanmıştır.

Yani, bir virüs / truva atı olabilir.

Bu bağlantı noktasını dinleme durumunda hangi işlem / hizmetin tuttuğunu belirlemek için Net Etkinlik Görüntüleyicisi'ni kullanmanızı öneririm :

resim açıklamasını buraya girin

Bundan sonra, Google, bu işlemle ve bu bağlantı noktasıyla ilgili herhangi bir virüs olup olmadığını görmek için işlem adını.

Son olarak, bunun bir virüs olduğunu düşünüyorsanız, burada verilen talimatları izleyin .

Diogo
kaynak
Ben linux makinesindeyim. Buna sudo netstat -lntp | fgrep 1111eşdeğer mi?
nknj
@Nikunj Linux TCP View programında düzenlendi. Muhtemelen netstat süreçlerle ilgili korumayı listeleyemez.
Diogo
Çok teşekkürler @Diogo. Bunu yapmama yardımcı olan bir CLI var mı?
Sunucumda
iftop ve iptraf, cmd hattında alternatifler gibi görünüyor.
nknj
1
Diogo
3

lsof -i :11111111 numaralı bağlantı noktasına bağlı işlemi bulmak için kullanabilirsiniz .

dadinck
kaynak
2

IANA'nın (İnternet Atanmış Numaralar Kurumu) liman açıklaması:

1111 tcp, udp lmsocialserver LM Sosyal Sunucu

Ancak aynı zamanda 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Kaynaklar:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
kaynak
1

Bu speedguide.net sayfası, 1111 numaralı TCP bağlantı noktasının LikeMinds Socialserver adlı bir uygulama tarafından kullanıldığını gösterir, ancak aynı zamanda birkaç kötü amaçlı yazılım uygulaması tarafından kullanıldığı biliniyor. Belki de diskinizde tam bir kötü amaçlı yazılım taraması yapmak mümkündür.

Fran
kaynak
1

Çek / etc / services

Genel olarak, / etc / services altında listelenen standart servis bağlantı noktalarını bulabilirsiniz . Ancak, benim sistemimde:

fgrep 1111 /etc/services

hiçbir bilgi döndürmez, bu nedenle muhtemelen standart bir hizmet değildir.

Netstat'ı kontrol et

Netstat ile belirli bir bağlantı noktasını hangi programların kullandığını görebilirsiniz .

sudo netstat -lntp | fgrep 1111

Daha sonra bu bilgileri, ortamınız için gerekli bir sistem hizmeti olup olmadığını belirlemek için kullanabilirsiniz.

Gereksiz İşlemleri Durdurma

Sistem işlemlerini durdurmak biraz platforma özgüdür, ancak birçok Linux sistemi bir sudo service ssh stopveya benzer komutu destekler veya başlangıç ​​komut dosyasını doğrudan ile çağırabilirsiniz sudo /etc/init.d/<service> stop. Bu bir sistem hizmeti değilse, sudo kill <pid>SIGTERM'i sürece göndermek için arayabilirsiniz .

Bir hizmeti durdurmanın tekrar çalışmasını engellemediğini, bu nedenle çalışma düzeyi başlangıç ​​komut dosyalarınızı platformunuz için uygun olan herhangi bir şekilde ayarlamanız gerekebilir.

CodeGnome
kaynak
Bunun için teşekkürler. fgrep 1111 /etc/servicebilgi vermedi. sudo netstat -lntp | fgrep 1111Ancak bu çıktı verdi:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Yerine grep -Fkullanın fgrep. Alıntı man grep: Doğrudan çağırma […] kullanımdan kaldırılmıştır, ancak onlara güvenen geçmiş uygulamaların değiştirilmemiş çalışmasına izin vermek için sağlanmıştır.
Marco
Teşekkürler @Marco. Bu hala aynı çıktıyı verir. Neler oluyor? Bu bir virüs mü?
nknj
1

Gönderen aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Kullanmayı planlamıyorsanız, yüklemeyi kaldırmanız veya en azından durdurmanız ve otomatik başlatmayı önlemeniz gerekir.

/etc/init.d/monit stop
update-rc.d -f monit remove

Veya kullanmayı ve ihtiyaçlarınıza göre yapılandırmayı öğrenebilirsiniz .

Bay Shunz
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.