Warum ist Port 1111 geöffnet und ist es sicher zu sein?

9

Ich bin neu in der Systemadministration und habe einen Server, auf dem eine Website mit HTTP (an Port 80), HTTPS (an Port 443) und SSH (an Port 22) ausgeführt wird.

Ich verwende Ubuntu 11.04.

Ich habe einen Nmap-Port-Scan mit meinem persönlichen Laptop durchgeführt und außer diesen 3 Ports war auch Port 1111 geöffnet. Dies war die Ausgabe:

1111/tcp open tcpwrapped

Ich habe dann getan:

sudo netstat -lntp | grep -F 1111

... und bekam folgende Ausgabe:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit scheint ein Überwachungstool in Ubuntu zu sein.

  • Sollte ich mir darüber Sorgen machen?

  • Wie bestimme ich den Zweck von Port 1111?

  • Wie schließe ich es, wenn ich muss?

linux networking security port tcp nknj
quelle
Wenn nmap "tcpwrapped" meldet, können Sie auch in /etc/hosts.allow oder /etc/hosts.deny nachsehen, welcher Dienst tatsächlich verpackt wird.
CodeGnome
Ich bin unter Linux. Ich werde den Beitrag aktualisieren, um dies hinzuzufügen.
nknj
@CodeGnome Ich habe diese Dateien überprüft und sie sind beide leer (alles in ihnen enthält auskommentierte Informationen zur Verwendung dieser Datei).
nknj
Homepage überwachen .
CodeGnome
Ich kontaktiere meinen Hosting-Service, um zu überprüfen, ob er etwas getan hat, um dies zu ermöglichen.
nknj

Antworten:

5

Nach dieser Referenz:

Da der Protokoll-TCP-Port 1111 als Virus markiert wurde (rot gefärbt), bedeutet dies nicht, dass ein Virus Port 1111 verwendet, sondern dass ein Trojaner oder Virus diesen Port in der Vergangenheit zur Kommunikation verwendet hat.

Es könnte sich also um einen Virus / Trojaner handeln.

Ich würde Ihnen empfehlen, Net Activity Viewer zu verwenden, um festzustellen, welcher Prozess / Dienst diesen Port im Abhörstatus hält:

Geben Sie hier die Bildbeschreibung ein

Anschließend gibt Google den Prozessnamen ein, um festzustellen, ob Viren im Zusammenhang mit diesem Prozess und diesem Port vorhanden sind.

Wenn Sie der Meinung sind, dass es sich um einen Virus handelt, befolgen Sie einfach die hier aufgeführten Anweisungen.

Diogo
quelle
Ich bin auf einer Linux-Maschine. Ist ein sudo netstat -lntp | fgrep 1111Äquivalent dazu?
nknj
@Nikunj Bearbeitet für Linux TCP View Programm. Wahrscheinlich kann netstat prot nicht in Bezug auf Prozesse auflisten.
Diogo
Vielen Dank @Diogo. Gibt es eine CLI-Sache, die mir dabei hilft? Ich habe keine Ubuntu-GUI-Installation auf meinem Server
nknj
sieht aus wie iftop und iptraf Alternativen in der cmd-Zeile sind.
nknj
1
Versuchen Sie diese Anleitung: cyberciti.biz/faq/what-process-has-open-linux-port
Diogo
3

Sie können lsof -i :1111den mit Port 1111 verbundenen Prozess suchen.

dadinck
quelle
2

Die Portbeschreibung der IANA (Internet Assigned Numbers Authority) lautet:

1111 tcp, udp lmsocialserver LM Social Server

Aber es ist auch bekannt, von verwendet zu werden 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Quellen:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
quelle
1

Diese speedguide.net- Seite gibt an, dass der TCP-Port 1111 von einer App namens LikeMinds Socialserver verwendet wird, es wird jedoch auch angegeben, dass er von mehreren Malware-Apps verwendet wird. Möglicherweise ist ein vollständiger Malware-Scan Ihrer Festplatte angebracht.

Fran
quelle
1

Überprüfen Sie / etc / services

Im Allgemeinen finden Sie Standard-Service-Ports in / etc / services . Auf meinem System jedoch:

fgrep 1111 /etc/services

Gibt keine Informationen zurück, daher handelt es sich wahrscheinlich nicht um einen Standarddienst.

Überprüfen Sie netstat

Sie können mit netstat sehen, welche Programme einen bestimmten Port verwenden .

sudo netstat -lntp | fgrep 1111

Mithilfe dieser Informationen können Sie dann feststellen, ob es sich um einen für Ihre Umgebung erforderlichen Systemdienst handelt.

Unnötige Prozesse stoppen

Das Stoppen von Systemprozessen ist etwas plattformspezifisch, aber viele Linux-Systeme unterstützen einen sudo service ssh stopoder einen ähnlichen Befehl, oder Sie können das Startskript direkt mit aufrufen sudo /etc/init.d/<service> stop. Wenn es sich nicht um einen Systemdienst handelt, können Sie einfach sudo kill <pid>SIGTERM an den Prozess senden.

Beachten Sie, dass das Stoppen eines Dienstes nicht verhindert, dass er erneut ausgeführt wird. Daher müssen Sie möglicherweise auch Ihre Runlevel-Startskripte so anpassen, wie es für Ihre spezifische Plattform angemessen ist.

CodeGnome
quelle
Danke dafür. fgrep 1111 /etc/servicegab keine Info. sudo netstat -lntp | fgrep 1111gab jedoch diese Ausgabe:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Verwenden Sie grep -Fanstelle von fgrep. Zitat aus man grep: Direkter Aufruf […] ist veraltet, wird jedoch bereitgestellt, damit historische Anwendungen, die auf ihnen basieren, unverändert ausgeführt werden können.
Marco
Danke @Marco. Dies ergibt immer noch die gleiche Ausgabe. Irgendeine Idee, was los ist? Ist das ein Virus?
nknj
1

Von aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Wenn Sie nicht vorhaben, es zu verwenden, sollten Sie es deinstallieren oder zumindest stoppen und einen automatischen Start mit verhindern

/etc/init.d/monit stop
update-rc.d -f monit remove

Oder Sie können lernen, es zu verwenden und es an Ihre Bedürfnisse anzupassen.

Herr Shunz
quelle