Dlaczego port 1111 jest otwarty i czy jest bezpieczny?

9

Jestem nowy w administrowaniu systemami i mam serwer z witryną z HTTP (na porcie 80), HTTPS (na porcie 443) i SSH (na porcie 22).

Używam Ubuntu 11.04.

Zrobiłem skanowanie portów Nmapa przy użyciu mojego laptopa i innych niż te 3 porty, port 1111 również był otwarty. To był wynik:

1111/tcp open tcpwrapped

Potem zrobiłem:

sudo netstat -lntp | grep -F 1111

... i otrzymałem następujące dane wyjściowe:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit wydaje się być narzędziem monitorowania w Ubuntu.

  • Czy powinienem się tym martwić?

  • Jak określić cel portu 1111?

  • Jak to zrobić, jeśli trzeba?

nknj
źródło
Jeśli nmap zgłasza „tcpwrapped”, możesz również zajrzeć do /etc/hosts.allow lub /etc/hosts.deny, aby zobaczyć, która usługa jest właśnie pakowana.
CodeGnome,
Jestem na Linuksie. Zmienię aktualizację posta, aby dodać to.
nknj
@CodeGnome Sprawdziłem te pliki i oba są puste (wszystko w nich jest zakomentowane informacje o tym, jak korzystać z tego pliku).
nknj
Strona główna Monit .
CodeGnome,
Kontaktuję się z moją usługą hostingową, aby sprawdzić, czy zrobili coś, aby to umożliwić.
nknj

Odpowiedzi:

5

Zgodnie z tym odniesieniem:

Ponieważ protokół TCP port 1111 został oflagowany jako wirus (zabarwiony na czerwono), nie oznacza, że ​​wirus korzysta z portu 1111, ale że trojan lub wirus używał tego portu w przeszłości do komunikacji.

Może to być wirus / trojan.

Polecam użyć Net Activity Viewer, aby ustalić, który proces / usługa utrzymuje ten port w stanie nasłuchiwania:

wprowadź opis zdjęcia tutaj

Następnie Google nazwa procesu, aby sprawdzić, czy są jakieś wirusy związane z tym procesem i tym portem.

Wreszcie, jeśli uważasz, że jest to wirus, po prostu postępuj zgodnie z instrukcjami tutaj.

Diogo
źródło
Jestem na maszynie z Linuksem. Czy to jest sudo netstat -lntp | fgrep 1111równoważne?
nknj
@Nikunj Edytowano w programie Linux TCP View. Prawdopodobnie netstat nie może wyświetlić protów związanych z procesami.
Diogo,
Wielkie dzięki @Diogo. Czy jest coś, co pomaga mi w tym CLI? Nie mam instalacji GUI Ubuntu na moim serwerze
nknj
wygląda na to, że iftop i iptraf to alternatywy na linii cmd.
nknj
1
Wypróbuj ten przewodnik: cyberciti.biz/faq/what-process-has-open-linux-port
Diogo
3

Możesz użyć, lsof -i :1111aby znaleźć proces podłączony do portu 1111.

Dadinck
źródło
2

Opis portu IANA (Internet Assigned Numbers Authority) to:

1111 tcp, udp lmsocialserver LM Social Server

Ale jest również znany jako używany przez

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Źródła:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
źródło
1

Ta strona speedguide.net wskazuje, że port TCP 1111 jest używany przez aplikację o nazwie LikeMinds Socialserver, ale mówi również, że jest znany z używania przez kilka aplikacji szkodliwego oprogramowania. Być może należy wykonać pełne skanowanie dysku w poszukiwaniu złośliwego oprogramowania.

Fran
źródło
1

Sprawdź / etc / services

Ogólnie można znaleźć standardowe porty usług wymienione w / etc / services . Jednak w moim systemie:

fgrep 1111 /etc/services

nie zwraca żadnych informacji, więc prawdopodobnie nie jest to standardowa usługa.

Sprawdź netstat

Możesz zobaczyć, jakie programy używają danego portu z netstat .

sudo netstat -lntp | fgrep 1111

Następnie możesz użyć tych informacji, aby ustalić, czy jest to niezbędna usługa systemowa dla twojego środowiska.

Zatrzymywanie niepotrzebnych procesów

Zatrzymywanie procesów systemowych jest nieco zależne od platformy, ale wiele systemów Linux obsługuje takie sudo service ssh stoplub podobne polecenie, lub można bezpośrednio wywołać skrypt startowy sudo /etc/init.d/<service> stop. Jeśli nie jest to usługa systemowa, możesz po prostu zadzwonić, sudo kill <pid>aby wysłać SIGTERM do procesu.

Pamiętaj, że zatrzymanie usługi nie zapobiega jej ponownemu uruchomieniu, więc może być konieczne dostosowanie skryptów uruchamiania poziomu pracy w dowolny sposób odpowiedni dla konkretnej platformy.

CodeGnome
źródło
Dzięki za to. fgrep 1111 /etc/servicenie podał żadnych informacji. sudo netstat -lntp | fgrep 1111jednak dał ten wynik:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Użyj grep -Fzamiast fgrep. Cytat z man grep: Bezpośrednie wywołanie […] jest przestarzałe, ale ma na celu umożliwienie, aby oparte na nich aplikacje historyczne działały bez zmian.
Marco
Dzięki @Marco. Nadal daje to tę samą moc wyjściową. Masz pomysł, co się dzieje? Czy to jest wirus?
nknj
1

Od aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Jeśli nie planujesz go używać, powinieneś go odinstalować lub przynajmniej zatrzymać i uniemożliwić automatyczne uruchamianie

/etc/init.d/monit stop
update-rc.d -f monit remove

Możesz też nauczyć się go używać i konfigurować zgodnie z własnymi potrzebami.

Pan Shunz
źródło