Ich bin neu in der Systemadministration und habe einen Server, auf dem eine Website mit HTTP (an Port 80), HTTPS (an Port 443) und SSH (an Port 22) ausgeführt wird.
Ich verwende Ubuntu 11.04.
Ich habe einen Nmap-Port-Scan mit meinem persönlichen Laptop durchgeführt und außer diesen 3 Ports war auch Port 1111 geöffnet. Dies war die Ausgabe:
1111/tcp open tcpwrapped
Ich habe dann getan:
sudo netstat -lntp | grep -F 1111
... und bekam folgende Ausgabe:
tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
Monit scheint ein Überwachungstool in Ubuntu zu sein.
Sollte ich mir darüber Sorgen machen?
Wie bestimme ich den Zweck von Port 1111?
Wie schließe ich es, wenn ich muss?
Antworten:
Nach dieser Referenz:
Es könnte sich also um einen Virus / Trojaner handeln.
Ich würde Ihnen empfehlen, Net Activity Viewer zu verwenden, um festzustellen, welcher Prozess / Dienst diesen Port im Abhörstatus hält:
Anschließend gibt Google den Prozessnamen ein, um festzustellen, ob Viren im Zusammenhang mit diesem Prozess und diesem Port vorhanden sind.
Wenn Sie der Meinung sind, dass es sich um einen Virus handelt, befolgen Sie einfach die hier aufgeführten Anweisungen.
quelle
sudo netstat -lntp | fgrep 1111
Äquivalent dazu?Sie können
lsof -i :1111
den mit Port 1111 verbundenen Prozess suchen.quelle
Die Portbeschreibung der IANA (Internet Assigned Numbers Authority) lautet:
Aber es ist auch bekannt, von verwendet zu werden
Quellen:
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml
http://www.speedguide.net/port.php?port=1111
quelle
Diese speedguide.net- Seite gibt an, dass der TCP-Port 1111 von einer App namens LikeMinds Socialserver verwendet wird, es wird jedoch auch angegeben, dass er von mehreren Malware-Apps verwendet wird. Möglicherweise ist ein vollständiger Malware-Scan Ihrer Festplatte angebracht.
quelle
Überprüfen Sie / etc / services
Im Allgemeinen finden Sie Standard-Service-Ports in / etc / services . Auf meinem System jedoch:
Gibt keine Informationen zurück, daher handelt es sich wahrscheinlich nicht um einen Standarddienst.
Überprüfen Sie netstat
Sie können mit netstat sehen, welche Programme einen bestimmten Port verwenden .
Mithilfe dieser Informationen können Sie dann feststellen, ob es sich um einen für Ihre Umgebung erforderlichen Systemdienst handelt.
Unnötige Prozesse stoppen
Das Stoppen von Systemprozessen ist etwas plattformspezifisch, aber viele Linux-Systeme unterstützen einen
sudo service ssh stop
oder einen ähnlichen Befehl, oder Sie können das Startskript direkt mit aufrufensudo /etc/init.d/<service> stop
. Wenn es sich nicht um einen Systemdienst handelt, können Sie einfachsudo kill <pid>
SIGTERM an den Prozess senden.Beachten Sie, dass das Stoppen eines Dienstes nicht verhindert, dass er erneut ausgeführt wird. Daher müssen Sie möglicherweise auch Ihre Runlevel-Startskripte so anpassen, wie es für Ihre spezifische Plattform angemessen ist.
quelle
fgrep 1111 /etc/service
gab keine Info.sudo netstat -lntp | fgrep 1111
gab jedoch diese Ausgabe:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
grep -F
anstelle vonfgrep
. Zitat ausman grep
: Direkter Aufruf […] ist veraltet, wird jedoch bereitgestellt, damit historische Anwendungen, die auf ihnen basieren, unverändert ausgeführt werden können.Von
aptitude show monit
:Wenn Sie nicht vorhaben, es zu verwenden, sollten Sie es deinstallieren oder zumindest stoppen und einen automatischen Start mit verhindern
Oder Sie können lernen, es zu verwenden und es an Ihre Bedürfnisse anzupassen.
quelle