Uruchomiłem nmap na moim serwerze i znalazłem dziwny otwarty port. Próbuję dowiedzieć się, czy istnieje sposób odwzorowania tego portu na konkretny proces, ale nie mam pojęcia, czy istnieje takie narzędzie.
Jakieś sugestie?
linux
networking
jnman
źródło
źródło
Odpowiedzi:
Podobnie jak Netstat, wspomniany w innych postach, polecenie lsof powinno być w stanie to zrobić dobrze. Po prostu użyj tego:
lsof -i :<port number>
i wszystkie procesy powinny się pojawić. Używam go w systemie OS X dość często.
Artykuł na temat administracji Debiana dla lsof
źródło
Ostrzeżenie: Twój system jest zagrożony.
Potrzebne jest narzędzie
lsof
, które wyświetli listę plików (oraz gniazd i portów). Najprawdopodobniej jest zainstalowany i najprawdopodobniej jest to wersja atakującego, co oznacza, że będzie cię okłamywać .To jest rzeczywiście rootkit. Widziałem to wcześniej i zawsze jest to rootkit. Twój system jest zagrożony i nie można ufać żadnym używanym narzędziom pochodzącym z tego samego komputera. Uruchom komputer na Live CD (który ma zaufane pliki binarne tylko do odczytu) i użyj go do wyodrębnienia danych, ustawień itp. Wszelkie programy, które posiadasz, wszelkie skrypty, porzuć je . Nie przynoś ich . Traktuj ich i system tak, jakby mieli trąd, ponieważ tak .
Gdy skończysz, odbierz go z orbity .
Zrób to jak najszybciej. Aha i odłącz połączenie sieciowe - odmów dostępu napastnikowi.
źródło
Wyświetla listę portów nasłuchujących połączeń przychodzących i powiązanego procesu, który ma otwarty port.
źródło
netstat -anp
„-P” informuje go o wyświetleniu identyfikatora procesu, który ma otwarty port. -An nakazuje mu wyświetlić listę nasłuchujących portów i nie rozpoznawać nazw. Na zajętych systemach, które mogą znacznie przyspieszyć szybkość powrotu.
netstat -anp | grep „LIST”
To po prostu da ci otwarte porty.
źródło
Jeśli nie widzisz portu otwartego za pomocą narzędzi systemu operacyjnego i podejrzewasz włamanie, być może zainstalowano rootkita.
Rootkit mógł zmienić narzędzia systemowe, aby uniknąć pewnych procesów i portów, lub zmienić moduły jądra.
Możesz sprawdzić rootkit za pomocą kilku zautomatyzowanych narzędzi. „rootkit wyszukiwania apt-cache” pokazuje następujące elementy w Ubuntu:
Jeśli zdarzy ci się mieć rootkita, możesz przywrócić „zmieniony” do swojego systemu, ale radzę dowiedzieć się, jak doszło do włamania i wzmocnić system, aby się nie powtarzał.
Nie są one wyłączne dla Ubuntu, możesz ich również używać w CentOS. Po prostu wyszukaj pakiet lub pobierz go ze swojej strony.
Na podstawie danych wyjściowych z tego portu wydaje się, że rzeczywiście uruchamiasz program pcanywhere: „ Ы <Enter>” jest bardzo podobny do „Proszę nacisnąć <Enter>”, który jest wiadomością powitalną pcanywhere. Nie wiem, dlaczego proces nie pojawia się na liście procesów. Czy jesteś rootem?
Możesz także spróbować ponownie uruchomić komputer, aby sprawdzić, czy jest to proces jednorazowy.
źródło
Aby wyjaśnić odpowiedź autorstwa @bjtitus, możesz uzyskać bardzo szczegółowe informacje, na przykład:
Widzę tam, że kałamarnica jest procesem, ale tak naprawdę to mój
squid-deb-proxy
port zajmuje.Kolejny dobry przykład aplikacji Java:
Możesz zobaczyć w
lsof
(LiSt Open Files), że jest to Java, co jest mniej niż pomocne. Po uruchomieniups
polecenia z PID od razu widać, że jest to CrashPlan.źródło