Tại sao cổng 1111 mở, và nó có an toàn không?

9

Tôi chưa quen với quản trị hệ thống và có một máy chủ đang chạy một trang web với HTTP (tại cổng 80), HTTPS (tại cổng 443) và SSH (tại cổng 22).

Tôi đang chạy Ubuntu 11.04.

Tôi đã thực hiện quét cổng Nmap bằng máy tính xách tay cá nhân của mình và ngoài 3 cổng này, cổng 1111 cũng được mở. Đây là đầu ra: 

1111/tcp open tcpwrapped

Sau đó tôi đã làm: 

sudo netstat -lntp | grep -F 1111

... và có đầu ra sau: 

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit dường như là một công cụ giám sát trong Ubuntu.

  • Tôi có nên lo lắng về điều này?

  • Làm cách nào để xác định mục đích của cổng 1111?

  • Làm thế nào để tôi đóng nó nếu tôi cần?

linux  networking  security  port  tcp 
nknj
nguồn
Nếu nmap báo cáo "tcpwrapping", bạn cũng có thể xem trong /etc/hosts.allow hoặc /etc/hosts.deny để xem dịch vụ nào thực sự được gói.
CodeGnome
Tôi đang dùng Linux. Ill cập nhật bài viết để thêm điều này.
nknj
@CodeGnome Tôi đã kiểm tra các tệp này và cả hai đều trống (mọi thứ trong chúng đều được nhận xét thông tin về cách sử dụng tệp này).
nknj
Monit trang chủ.
CodeGnome
Tôi đang liên hệ với dịch vụ lưu trữ của mình để kiểm tra xem họ đã làm gì để kích hoạt tính năng này chưa.
nknj

Câu trả lời:

5

Theo tài liệu tham khảo này:

Bởi vì giao thức TCP port 1111 bị gắn cờ là vi-rút (màu đỏ)   không có nghĩa là vi-rút đang sử dụng cổng 1111, nhưng đó là một Trojan hoặc   Virus đã sử dụng cổng này trong quá khứ để liên lạc.

Vì vậy, nó có thể là virus / trojan.

Tôi muốn giới thiệu bạn sử dụng Trình xem hoạt động ròng để xác định quy trình / dịch vụ nào đang giữ cổng này ở trạng thái nghe:

enter image description here

Sau này, Google tên quy trình để xem liệu có bất kỳ vi-rút nào liên quan đến quy trình này và cổng này không.

Cuối cùng, nếu bạn nghĩ đó là virus, chỉ cần làm theo hướng dẫn tại đây.

Diogo
nguồn
Tôi đang ở trên một máy linux. Là một sudo netstat -lntp | fgrep 1111 tương đương với điều này?
nknj
@Nikunj Đã chỉnh sửa chương trình Xem TCP của Linux. Có lẽ netstat không thể liệt kê prot liên quan đến các quy trình.
Diogo
Cảm ơn rất nhiều @Diogo. Có một điều CLI giúp tôi làm điều này? Tôi không cài đặt gui Ubuntu trên máy chủ của mình
nknj
có vẻ như iftop và iptraf là những lựa chọn thay thế trên dòng cmd.
nknj
1
Diogo
2

Mô tả cổng của IANA (Cơ quan cấp số được gán Internet) là:

1111 tcp, udp lmsocialserver LM Máy chủ xã hội

Nhưng nó cũng được biết là được sử dụng bởi 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Nguồn:

http: //www

http://www.speedguide.net/port.php?port=1111

Rhyuk
nguồn
2

Bạn có thể dùng lsof -i :1111 để tìm quá trình kết nối với cổng 1111.

dadinck
nguồn
1

Điều này speedguide.net trang chỉ ra rằng cổng TCP 1111 được sử dụng bởi một ứng dụng có tên LikeMinds Socialserver, nhưng nó cũng cho biết nó được sử dụng bởi một số ứng dụng phần mềm độc hại. Có lẽ quét phần mềm độc hại đầy đủ của đĩa của bạn theo thứ tự.

Fran
nguồn
1

Kiểm tra / etc / services

Nói chung, bạn có thể tìm thấy các cổng dịch vụ tiêu chuẩn được liệt kê trong / etc / dịch vụ . Tuy nhiên, trên hệ thống của tôi: 

fgrep 1111 /etc/services

không trả lại thông tin, vì vậy đây có thể không phải là một dịch vụ tiêu chuẩn.

Kiểm tra netstat

Bạn có thể xem những chương trình nào đang sử dụng một cổng nhất định với netstat . 

sudo netstat -lntp | fgrep 1111

Sau đó, bạn có thể sử dụng thông tin đó để xác định xem đó có phải là dịch vụ hệ thống cần thiết cho môi trường của bạn không.

Dừng các quy trình không cần thiết

Dừng các quy trình hệ thống có phần đặc thù nền tảng, nhưng nhiều hệ thống Linux hỗ trợ sudo service ssh stop hoặc lệnh tương tự, hoặc bạn có thể gọi trực tiếp tập lệnh khởi động với sudo /etc/init.d/<service> stop. Nếu đó không phải là một dịch vụ hệ thống, bạn có thể gọi sudo kill <pid> để gửi SIGTERM đến quá trình.

Lưu ý rằng việc dừng dịch vụ không ngăn dịch vụ chạy lại, do đó bạn cũng có thể cần điều chỉnh các tập lệnh khởi động runlevel của mình theo bất kỳ cách nào phù hợp với nền tảng cụ thể của bạn.

CodeGnome
nguồn
Cám ơn vì cái này. fgrep 1111 /etc/service không có thông tin. sudo netstat -lntp | fgrep 1111 tuy nhiên đã cho đầu ra này: tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Sử dụng grep -F thay vì fgrep. Trích dẫn từ man grep: Yêu cầu trực tiếp [Hoài] không được chấp nhận, nhưng được cung cấp để cho phép các ứng dụng lịch sử dựa vào chúng chạy không thay đổi.
Marco
Cảm ơn @Marco. Điều này vẫn cho đầu ra tương tự. Có ai biết cái gì đang xảy ra không? Đây có phải là virus không?
nknj
1

Từ aptitude show monit: 

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Nếu bạn không định sử dụng nó, bạn nên gỡ cài đặt nó hoặc ít nhất là dừng nó và ngăn tự động bắt đầu 

/etc/init.d/monit stop
update-rc.d -f monit remove

Hoặc bạn có thể học cách sử dụng nó và cấu hình nó theo nhu cầu của bạn.

Mr Shunz
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.