Почему порт 1111 открыт и безопасен ли он?


9

Я новичок в системном администрировании и у меня есть сервер, на котором работает веб-сайт с HTTP (на порту 80), HTTPS (на порту 443) и SSH (на порту 22).

Я использую Ubuntu 11.04.

Я сделал сканирование порта Nmap, используя свой личный ноутбук и кроме этих 3 портов, порт 1111 тоже был открыт. Это был выход:

1111/tcp open tcpwrapped

Я тогда сделал:

sudo netstat -lntp | grep -F 1111

... и получил следующий вывод:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit - это инструмент мониторинга в Ubuntu.

  • Должен ли я быть обеспокоен этим?

  • Как определить назначение порта 1111?

  • Как мне закрыть его, если мне нужно?


Если nmap сообщает «tcpwrapped», вы также можете посмотреть в /etc/hosts.allow или /etc/hosts.deny, чтобы увидеть, какой сервис на самом деле оборачивается.
CodeGnome

Я на Linux. Я обновлю пост, чтобы добавить это.
nknj

@CodeGnome Я проверил эти файлы, и они оба пусты (все в них закомментирована информация о том, как использовать этот файл).
nknj

Монит домашнюю страницу.
CodeGnome

Я связываюсь со своей хостинговой службой, чтобы проверить, не сделали ли они что-нибудь для этого.
nknj

Ответы:


5

По этой ссылке:

Поскольку протокол TCP-порт 1111 был помечен как вирус (выделен красным), это не означает, что вирус использует порт 1111, а что троянец или вирус использовали этот порт в прошлом для связи.

Таким образом, это может быть вирус / троян.

Я бы порекомендовал вам использовать Net Activity Viewer, чтобы определить, какой процесс / служба поддерживает этот порт в состоянии прослушивания:

введите описание изображения здесь

После этого, Google имя процесса, чтобы увидеть, есть ли вирусы, связанные с этим процессом и с этим портом.

Наконец, если вы считаете, что это вирус, просто следуйте инструкциям, приведенным здесь.


Я на машине Linux. Является ли это sudo netstat -lntp | fgrep 1111эквивалентом?
nknj

@Nikunj Отредактировано для Linux TCP View программы. Вероятно, netstat не может перечислить прот, связанный с процессами.
Диого

Большое спасибо @Diogo. Есть ли CLI, который помогает мне сделать это? У меня не установлен Ubuntu GUI на моем сервере
nknj

похоже, что iftop и iptraf являются альтернативами в строке cmd.
nknj

1
Попробуйте это руководство: cyberciti.biz/faq/what-process-has-open-linux-port
Диого

3

Вы можете использовать, lsof -i :1111чтобы найти процесс, подключенный к порту 1111.


2

Описание порта IANA (Управление назначенных номеров в Интернете):

1111 tcp, udp lmsocialserver LM Социальный сервер

Но его также известно для использования

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Источники:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111


1

На этой странице speedguide.net указано, что TCP-порт 1111 используется приложением LikeMinds Socialserver, но также известно, что оно используется несколькими вредоносными приложениями. Возможно, полное сканирование вашего диска на вредоносное ПО в порядке.


1

Проверьте / etc / services

Как правило, вы можете найти стандартные сервисные порты, перечисленные в / etc / services . Однако в моей системе:

fgrep 1111 /etc/services

не возвращает никакой информации, так что это, вероятно, не стандартная услуга.

Проверьте netstat

Вы можете увидеть, какие программы используют данный порт с помощью netstat .

sudo netstat -lntp | fgrep 1111

Затем вы можете использовать эту информацию, чтобы определить, является ли это необходимым системным сервисом для вашей среды.

Остановка ненужных процессов

Остановка системных процессов в некоторой степени зависит от платформы, но многие системы Linux поддерживают sudo service ssh stopили аналогичную команду, или вы можете вызвать скрипт запуска напрямую sudo /etc/init.d/<service> stop. Если это не системная служба, вы можете просто позвонить, sudo kill <pid>чтобы отправить SIGTERM в процесс.

Обратите внимание, что остановка службы не препятствует ее повторному запуску, поэтому вам также может понадобиться настроить сценарии запуска уровня запуска так, как это подходит для вашей конкретной платформы.


Спасибо за это. fgrep 1111 /etc/serviceне дал никакой информации. sudo netstat -lntp | fgrep 1111однако дал такой вывод:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj

Используйте grep -Fвместо fgrep. Цитата из man grep: Прямой вызов […] устарел, но предоставляется, чтобы позволить историческим приложениям, которые полагаются на них, работать без изменений.
Марко

Спасибо @ Марко. Это все еще дает тот же результат. Есть идеи, что происходит? Это вирус?
nknj

1

От aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Если вы не планируете использовать его, вы должны удалить его или, по крайней мере, остановить его и предотвратить автоматический запуск с

/etc/init.d/monit stop
update-rc.d -f monit remove

Или вы можете научиться использовать его и настроить его под свои нужды.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.