Я запустив nmap на своєму сервері і знайшов дивний порт відкритим. Я намагаюся з’ясувати, чи є спосіб відобразити цей порт на конкретний процес, але поняття не маю, чи є такий інструмент.
Будь-які пропозиції?
Відповіді:
Як і Netstat, згаданий в інших публікаціях, команда lsof повинна це зробити просто чудово. Просто скористайтеся цим:
lsof -i :<port number>
і всі процеси повинні з'явитися. Я використовую його в OS X досить часто.
Вам потрібен інструмент lsof, який перелічить файли (і сокети, і порти). Він, швидше за все, встановлений, і це, швидше за все, версія зловмисника, це означає, що він вам бреше .
Це справді руткіт. Я вже бачив таку поведінку, і це завжди руткіт. Ваша система порушена, і будь-яким інструментам, які ви використовуєте, які походять з однієї машини, не можна довіряти. Увімкніть живий компакт-диск (який має довірені бінарні файли лише для читання) і використовуйте їх для вилучення ваших даних, налаштувань тощо. Будь-які програми, які ви мали, будь-які сценарії, які у вас були, відмовляються від них . Не принось їх . Ставтесь до них, і до системи, ніби у них є проказа, бо вони є .
Зробіть це якомога швидше. О, і відключіть мережеве з'єднання - забороніть зловмиснику доступу.
netstat -anp
"-P" повідомляє йому перелічити ідентифікатор процесу, у якого відкритий порт. -An каже йому, щоб перелічити порти прослуховування та не вирішувати імена. На зайнятих системах, які можуть значно прискорити швидкість повернення.
netstat -anp | grep "СПИСОК"
Це просто дасть вам відкриті порти.
Якщо ви не можете побачити порт, відкритий за допомогою інструментів операційної системи, і підозрюєте про вторгнення, можливо, встановлено руткіт.
Руткіт міг змінити системні інструменти, щоб уникнути певних процесів і портів або змінених модулів ядра.
Ви можете перевірити наявність rootkit за допомогою декількох автоматизованих інструментів. 'rootkit пошуку apt-кешу' показує наступне в Ubuntu:
chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports
Якщо у вас є руткіт, ви можете повернути "змінене" до вашої системи, але я рекомендую вам дізнатися, як було здійснено вторгнення, і загартувати систему, щоб вона не повторювалася.
Вони не є ексклюзивним для Ubuntu, ви можете використовувати їх і в CentOS. Просто шукайте пакет або завантажуйте його зі своєї сторінки.
На виході з цього порту, здається, ви справді працюєте pcanywhere: " Y <Enter>" дуже схожий на "Будь ласка, натисніть <Enter>", яке є привітальним повідомленням pcanywhere. Я не знаю, чому процес не відображається у списку процесів. Ви корінь?
Ви можете спробувати перезавантажити, щоб побачити, чи це одноразовий процес.
Щоб пояснити відповідь @bjtitus, ви можете отримати дуже детальну інформацію, наприклад:
$ lsof -i :8000
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
squid3 1289 proxy 15u IPv6 14810490 0t0 TCP *:8000 (LISTEN)
$ ps -fp 1289
UID PID PPID C STIME TTY TIME CMD
proxy 1289 1 0 09:48 ? 00:00:00 /usr/sbin/squid3 -N -f /etc/squid-deb-proxy/squid-deb-proxy.conf
Я можу побачити, що кальмар - це процес, але він справді мій, squid-deb-proxyщо займає порт.
Ще один хороший приклад програми Java:
$ lsof -i :4242
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
java 3075 root 86u IPv4 12019 0t0 TCP *:4242 (LISTEN)
$ ps -fp 3075
UID PID PPID C STIME TTY TIME CMD
root 3075 1 15 May24 ? 3-16:07:25 /usr/local/crashplan/jre/bin/java -Dfile.encoding=UTF-8 -Dapp=CrashPlanService -DappBaseName=CrashPl
Ви можете бачити в lsof(LiSt Open Files), що це java, що менш ніж корисно. Запустивши psкоманду з PID, ми можемо відразу побачити, що це CrashPlan.