Nmap

檢查開放埠:6129 已過濾

  • October 31, 2012

我已經在我的伺服器上開始了安全審計,通過簡單的 nmap 掃描,我發現了以下情況:

Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET
Nmap scan report for ********* (*********)
Host is up (0.021s latency).
Not shown: 997 closed ports
PORT     STATE    SERVICE
80/tcp   open     http
999/tcp  open     garcon
6129/tcp filtered unknown

埠 80 用於 HTTP,999 是 OpenSSH 守護程序的自定義埠。但是 6129 過濾埠是什麼?感謝 Google,我發現此埠通常由 Dameware 使用:我尚未安裝的遠端管理員軟體。

我用一個簡單的“netstat -a”檢查了活動連接:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:999                   *:*                     LISTEN     
tcp        0      0 localhost.localdom:9000 *:*                     LISTEN     
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN     
tcp        0      0 *:www                   *:*                     LISTEN     
tcp        0    224 *******:999 ************:58761     ESTABLISHED
tcp6       0      0 [::]:999                [::]:*                  LISTEN     
tcp6       0      0 [::]:www                [::]:*                  LISTEN     
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  4      [ ]         DGRAM                    171764732 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     171765031 /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     208767580 
unix  3      [ ]         STREAM     CONNECTED     208767579 
unix  2      [ ]         DGRAM                    208767578 
unix  3      [ ]         STREAM     CONNECTED     171765176 
unix  3      [ ]         STREAM     CONNECTED     171765175 
unix  3      [ ]         STREAM     CONNECTED     171765170 
unix  3      [ ]         STREAM     CONNECTED     171765169 
unix  3      [ ]         STREAM     CONNECTED     171765166 
unix  3      [ ]         STREAM     CONNECTED     171765165 
unix  3      [ ]         STREAM     CONNECTED     171765163 
unix  3      [ ]         STREAM     CONNECTED     171765162 
unix  2      [ ]         DGRAM                    171764989 
unix  3      [ ]         STREAM     CONNECTED     171764716 
unix  3      [ ]         STREAM     CONNECTED     171764715 

一切似乎都很好。幾天前我才安裝了這台伺服器,我對安全性非常偏執:只有 2 個來自遠端(HTTP 和 OPENSSH)的可用守護程序,禁用 RootLogin 的自定義 SSH 埠,加固的 webapp,丟棄所有流量的 iptables,除了 80 和999,還有更多……我有可能被黑了嗎?

非常感謝您的幫助

這可能是您的 ISP 過濾了該埠上的出站流量(誰知道為什麼?只有他們這樣做)。如果您從其他地方掃描,您不太可能看到它。如果您在從另一個位置(和不同的 ISP)掃描看到它,那麼它可能被伺服器的 ISP 過濾了。

掃描器用來戳您的伺服器的路徑上的防火牆正在丟棄此埠的數據包,或者不太可能,您的系統上有一個 rootkit。

您應該能夠通過掃描同一子網(即 nmap -sT -p 6129 othersystemutrust)的另一個系統(您信任)的同一埠來診斷此問題。

嗅探通信是另一種選擇(即 tcpdump -i eth0 埠 6129),但如果它真的是一個 rootkit,它可能無法相應地工作。

引用自:https://serverfault.com/questions/444097