Czy portsentry jest złośliwy / backdoor?

0

Niedawno zorientowałem się, że program o nazwie portsentry nasłuchuje na portach 1 i 111 na moim serwerze, ale nie pamiętam, aby go instalować!

Zastanawiam się, czy to złośliwa usługa.

Przeszukałem dzienniki i znalazłem to:

portsentry is not up to date (Wed Dec 31 19:00:00 1969)
Fetching http://httpupdate.cpanel.net/pub/sysup/9-64/portsentry/portsentry-1.1-5.x86_64.rpm (0)[email protected]%......Done
portsentry                  ##################################################

Sep 13 06:35:47 host portsentry[4681]: adminalert: Psionic PortSentry 1.1 is starting.
Sep 13 06:35:48 host portsentry[4685]: adminalert: Going into listen mode on TCP port: 1
Sep 13 06:35:48 host portsentry[4685]: adminalert: Going into listen mode on TCP port: 111
Sep 13 06:35:48 host portsentry[4685]: adminalert: PortSentry is now active and listening.
Sep 13 06:35:48 host portsentry[4686]: adminalert: Psionic PortSentry 1.1 is starting.
Sep 13 06:35:48 host portsentry[4687]: adminalert: ERROR: No UDP ports supplied in config file. Aborting

Mam CentOS z CPanel ...

Dziękuję Ci!

Zenet
źródło

Odpowiedzi:

1

PortSentry jest domyślnie wyposażony w cPanel i dlatego jest instalowany w twoim systemie, gdy masz zainstalowany cPanel. Jeśli masz zainstalowany cPanel, nie ma się czym martwić.

From http://www.faqs.org/docs/securing/chap14sec116.html :

Skanowanie portu jest objawem większego problemu, który pojawi się na twojej drodze. Często jest to kursor wstępny do ataku i jest krytyczną informacją dla właściwej obrony twoich zasobów informacyjnych. PortSentry to program zaprojektowany do wykrywania i reagowania na skanowanie portów na hoście docelowym w czasie rzeczywistym i ma wiele opcji wykrywania skanowania portów. Kiedy go znajdzie, może zareagować na następujące sposoby:

Dziennik wskazujący incydent jest tworzony za pomocą syslog (). Docelowy host jest automatycznie upuszczany do /etc/hosts.deny dla Opakowań TCP. Lokalny host jest automatycznie ponownie konfigurowany w celu kierowania całego ruchu do celu do martwego hosta, aby system docelowy zniknął. Lokalny host jest automatycznie ponownie konfigurowany, aby usunąć wszystkie pakiety z miejsca docelowego za pośrednictwem lokalnego filtru pakietów. Ma to na celu poinformowanie administratora, że ​​jego gospodarz jest sondowany.

BloodPhilia
źródło
2

PortSentry to system wykrywania włamań. Może ostrzegać lub rejestrować wszelkie podejrzane próby zdalnego ataku na system. Może nawet być w stanie zgłosić je bezpośrednio do zapory, aby tymczasowo zwiększyć bezpieczeństwo podczas podejrzanego zachowania. Prawdopodobnie przyszedł z systemem operacyjnym lub zaporą ogniową i powinieneś pozostawić go uruchomiony.

TuxRug
źródło
czy jesteś pewien, że pochodzi z moim CentOS? Nigdy nie otrzymałem od niego żadnych raportów / powiadomień!
Zenet,
Wygląda na to, że CPanel jest dostarczany z PortSentry. Jeśli nigdy wcześniej nie dostawałeś powiadomień, prawdopodobnie teraz je widzisz, ponieważ narzeka na to, że są nieaktualne. Upewnij się, że nie masz zapory blokującej serwer httpupdate.cpanel.net. Sprawdź także dostępność aktualizacji serwera, uruchamiając (jako root) yum updatenastępnie yum upgrade. Jeśli to nie zadziała, czy istnieje nowsza wersja CPanel od cpanel.net
TuxRug