Ich habe nmap auf meinem Server ausgeführt und festgestellt, dass ein seltsamer Port offen ist. Ich versuche herauszufinden, ob es eine Möglichkeit gibt, diesen Port einem bestimmten Prozess zuzuordnen, habe aber keine Ahnung, ob es ein solches Tool gibt.
Irgendwelche Vorschläge?
linux
networking
jnman
quelle
quelle
Antworten:
Ebenso wie Netstat, das in anderen Posts erwähnt wurde, sollte der Befehl lsof in der Lage sein, dies in Ordnung zu bringen. Benutze einfach folgendes:
lsof -i :<port number>
und alle Prozesse sollten auftauchen. Ich benutze es unter OS X ziemlich häufig.
Debian-Verwaltungsartikel für lsof
quelle
Warnung: Ihr System ist kompromittiert.
Das Tool, das Sie benötigen
lsof
, listet Dateien (und Sockets und Ports) auf. Es ist höchstwahrscheinlich installiert, und es ist höchstwahrscheinlich die Version des Angreifers, was bedeutet, dass Sie belogen werden .Dies ist in der Tat ein Rootkit. Ich habe dieses Verhalten schon einmal gesehen und es ist immer ein Rootkit. Ihr System ist kompromittiert, und alle Tools, die Sie verwenden und die von demselben Computer stammen, können nicht als vertrauenswürdig eingestuft werden. Starten Sie eine Live-CD (die schreibgeschützte vertrauenswürdige Binärdateien enthält) und extrahieren Sie damit Ihre Daten, Einstellungen usw. Alle Programme, Skripte, die Sie hatten, lassen Sie sie fallen . Bring sie nicht mit . Behandle sie und das System, als hätten sie Lepra, weil sie es tun .
Sobald Sie fertig sind, nuklearisieren Sie es aus dem Orbit .
Mach das so schnell wie möglich. Oh, und trennen Sie Ihre Netzwerkverbindung - verweigern Sie Ihrem Angreifer den Zugriff.
quelle
Listet Ports auf, die auf eingehende Verbindungen warten, sowie den zugeordneten Prozess, bei dem der Port geöffnet ist.
quelle
netstat -anp
Das "-p" weist es an, die Prozess-ID aufzulisten, bei der der Port offen ist. Das -an weist es an, Listening-Ports aufzulisten und Namen nicht aufzulösen. Auf ausgelasteten Systemen kann dies die Rückkehrgeschwindigkeit erheblich beschleunigen.
netstat -anp | grep "LIST"
Das gibt dir nur die offenen Ports.
quelle
Wenn der Port mit den Betriebssystemtools nicht geöffnet ist und Sie den Verdacht haben, dass eine Sicherheitsverletzung vorliegt, wurde möglicherweise ein Rootkit installiert.
Das Rootkit hat möglicherweise die Systemtools geändert, um bestimmte Prozesse und Ports zu vermeiden, oder die Kernelmodule geändert.
Sie können mit mehreren automatisierten Tools nach Rootkits suchen. 'apt-cache search rootkit' zeigt in Ubuntu Folgendes:
Wenn Sie zufällig ein Rootkit haben, können Sie die Änderungen an Ihrem System rückgängig machen. Ich empfehle Ihnen jedoch, herauszufinden, wie die Eingriffe vorgenommen wurden, und das System zu härten, damit es sich nicht wiederholt.
Sie sind nicht exklusiv für Ubuntu, sondern können auch in CentOS verwendet werden. Suchen Sie einfach nach dem Paket oder laden Sie es von der entsprechenden Seite herunter.
An der Ausgabe von diesem Port sieht es tatsächlich so aus, als würden Sie pcanywhere ausführen: " Ы <Eingabetaste>" ist sehr ähnlich zu "Bitte drücken Sie die <Eingabetaste>". Dies ist die Begrüßungsnachricht von pcanywhere. Ich weiß nicht, warum der Prozess nicht in der Prozessliste angezeigt wird. Bist du root?
Sie können versuchen, den Computer neu zu starten, um festzustellen, ob es sich ebenfalls um einen einmaligen Vorgang handelt.
quelle
Um die Antwort von @bjtitus zu erläutern, können Sie einige sehr detaillierte Informationen erhalten, zum Beispiel:
Ich kann genau dort sehen, dass Tintenfisch der Prozess ist, aber es ist tatsächlich mein
squid-deb-proxy
, der den Hafen einnimmt .Ein weiteres gutes Beispiel für eine Java-App:
Sie können in
lsof
(LiSt Open Files) sehen, dass es sich um Java handelt, was weniger als hilfreich ist.ps
Wenn wir den Befehl mit der PID ausführen, können wir sofort erkennen, dass es sich um CrashPlan handelt.quelle