Nmap
檢查開放埠:6129 已過濾
我已經在我的伺服器上開始了安全審計,通過簡單的 nmap 掃描,我發現了以下情況:
Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET Nmap scan report for ********* (*********) Host is up (0.021s latency). Not shown: 997 closed ports PORT STATE SERVICE 80/tcp open http 999/tcp open garcon 6129/tcp filtered unknown
埠 80 用於 HTTP,999 是 OpenSSH 守護程序的自定義埠。但是 6129 過濾埠是什麼?感謝 Google,我發現此埠通常由 Dameware 使用:我尚未安裝的遠端管理員軟體。
我用一個簡單的“netstat -a”檢查了活動連接:
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:999 *:* LISTEN tcp 0 0 localhost.localdom:9000 *:* LISTEN tcp 0 0 localhost.localdo:mysql *:* LISTEN tcp 0 0 *:www *:* LISTEN tcp 0 224 *******:999 ************:58761 ESTABLISHED tcp6 0 0 [::]:999 [::]:* LISTEN tcp6 0 0 [::]:www [::]:* LISTEN Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node Path unix 4 [ ] DGRAM 171764732 /dev/log unix 2 [ ACC ] STREAM LISTENING 171765031 /var/run/mysqld/mysqld.sock unix 3 [ ] STREAM CONNECTED 208767580 unix 3 [ ] STREAM CONNECTED 208767579 unix 2 [ ] DGRAM 208767578 unix 3 [ ] STREAM CONNECTED 171765176 unix 3 [ ] STREAM CONNECTED 171765175 unix 3 [ ] STREAM CONNECTED 171765170 unix 3 [ ] STREAM CONNECTED 171765169 unix 3 [ ] STREAM CONNECTED 171765166 unix 3 [ ] STREAM CONNECTED 171765165 unix 3 [ ] STREAM CONNECTED 171765163 unix 3 [ ] STREAM CONNECTED 171765162 unix 2 [ ] DGRAM 171764989 unix 3 [ ] STREAM CONNECTED 171764716 unix 3 [ ] STREAM CONNECTED 171764715
一切似乎都很好。幾天前我才安裝了這台伺服器,我對安全性非常偏執:只有 2 個來自遠端(HTTP 和 OPENSSH)的可用守護程序,禁用 RootLogin 的自定義 SSH 埠,加固的 webapp,丟棄所有流量的 iptables,除了 80 和999,還有更多……我有可能被黑了嗎?
非常感謝您的幫助
這可能是您的 ISP 過濾了該埠上的出站流量(誰知道為什麼?只有他們這樣做)。如果您從其他地方掃描,您不太可能看到它。如果您在從另一個位置(和不同的 ISP)掃描時看到它,那麼它可能被伺服器的 ISP 過濾了。
掃描器用來戳您的伺服器的路徑上的防火牆正在丟棄此埠的數據包,或者不太可能,您的系統上有一個 rootkit。
您應該能夠通過掃描同一子網(即 nmap -sT -p 6129 othersystemutrust)的另一個系統(您信任)的同一埠來診斷此問題。
嗅探通信是另一種選擇(即 tcpdump -i eth0 埠 6129),但如果它真的是一個 rootkit,它可能無法相應地工作。