Чому порт 1111 відкритий, і чи безпечно це бути?

9

Я новачок у системному адмініструванні та маю сервер, на якому працює веб-сайт із HTTP (на порту 80), HTTPS (на порту 443) та SSH (на порту 22).

Я запускаю Ubuntu 11.04.

Я зробив сканування портів Nmap за допомогою мого особистого ноутбука та інших, ніж ці 3 порти, порт 1111 теж був відкритий. Це був вихід:

1111/tcp open tcpwrapped

Я тоді:

sudo netstat -lntp | grep -F 1111

... і отримав такий вихід:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Моніт, схоже, є інструментом моніторингу в Ubuntu.

  • Чи повинен мене це турбувати?

  • Як визначити призначення порту 1111?

  • Як його закрити, якщо потрібно?

linux  networking  security  port  tcp 
nknj
джерело
Якщо nmap повідомляє "tcpwrapped", ви також можете заглянути в /etc/hosts.allow або /etc/hosts.deny, щоб побачити, яку службу насправді завершено.
CodeGnome
Я в Linux. Не можу оновити публікацію, щоб додати це.
nknj
@CodeGnome Я перевірив ці файли, і вони обидва порожні (усе в них коментована інформація про те, як користуватися цим файлом).
nknj
Моніт домашньої сторінки.
CodeGnome
Я зв’язуюся зі службою хостингу, щоб перевірити, чи зробили щось для цього.
nknj

Відповіді:

5

Згідно з цим посиланням:

Оскільки протокол TCP-порт 1111 був позначений як вірус (кольоровий червоний), це не означає, що вірус використовує порт 1111, а те, що троян або вірус раніше використовували цей порт для спілкування.

Отже, це може бути вірус / троян.

Я рекомендую вам скористатися засобом перегляду Net Activity, щоб визначити, який процес / послуга підтримує цей порт у режимі прослуховування:

введіть тут опис зображення

Після цього Google назває ім'я процесу, щоб перевірити, чи є віруси, пов’язані з цим процесом та цим портом.

Нарешті, якщо ви вважаєте, що це вірус, просто дотримуйтесь інструкцій, що тут керуються.

Діого
джерело
Я на машині Linux. Є sudo netstat -lntp | fgrep 1111еквівалент цьому?
nknj
@Nikunj Відредаговано у програмі Linux TCP View. Ймовірно, netstat не може перелічити prot, пов'язаний з процесами.
Діого
Дуже дякую @Diogo. Чи є предмет CLI, який допомагає мені це зробити? У мене на моєму сервері не встановлено gui ubuntu
nknj
схоже, що iftop та iptraf є альтернативами на cmd-лінії.
nknj
1
Спробуйте цей посібник: cyberciti.biz/faq/what-process-has-open-linux-port
Diogo
3

Ви можете lsof -i :1111знайти процес, підключений до порту 1111.

тато
джерело
2

Опис порту IANA (Internet Assigned Numbers Authority):

1111 tcp, udp lmsocialserver LM Social Server

Але його також відомо, що використовується 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Джерела:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Рюк
джерело
1

Ця сторінка speedguide.net вказує, що TCP-порт 1111 використовується додатком під назвою LikeMinds Socialserver, але він також говорить, що його, як відомо, використовують кілька програм шкідливих програм. Можливо, на вашому диску проходить повне сканування зловмисного програмного забезпечення.

Фран
джерело
1

Перевірка / тощо / послуги

Як правило, ви можете знайти стандартні порти обслуговування, перелічені в / etc / services . Однак у моїй системі:

fgrep 1111 /etc/services

не повертає ніякої інформації, тому, ймовірно, це не стандартна послуга.

Перевірте netstat

Ви можете бачити, які програми використовують даний порт із netstat .

sudo netstat -lntp | fgrep 1111

Потім ви можете використовувати цю інформацію, щоб визначити, чи це необхідна системна послуга для вашого оточення.

Зупинення непотрібних процесів

Припинення системних процесів дещо залежить від платформи, але багато систем Linux підтримують таку sudo service ssh stopчи подібну команду, або ви можете викликати сценарій запуску безпосередньо за допомогою sudo /etc/init.d/<service> stop. Якщо це не системна послуга, ви можете просто зателефонувати, sudo kill <pid>щоб відправити SIGTERM в процес.

Зауважте, що зупинення послуги не заважає запустити її знову, тому вам може знадобитися відкоригувати сценарії запуску запуску рівня будь-яким способом, який підходить для вашої конкретної платформи.

CodeGnome
джерело
Дякую за це fgrep 1111 /etc/serviceне дав жодної інформації. sudo netstat -lntp | fgrep 1111однак дав цей вихід:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Використовуйте grep -Fзамість fgrep. Цитата man grep: Пряме виклик […] застаріле, але надається, щоб дозволити історичним програмам, які покладаються на них, працювати без змін.
Марко
Дякую @Marco. Це все одно дає той самий вихід. Будь-яка ідея, що відбувається? Це вірус?
nknj
1

Від aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Якщо ви не плануєте його використовувати, слід видалити його або принаймні зупинити і запобігти автоматичному запуску

/etc/init.d/monit stop
update-rc.d -f monit remove

Або ви можете навчитися користуватися ним і налаштувати його під свої потреби.

Містер Шунц
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.