為什麼 crond 監聽埠 6550/tcp (fg-sysupdate)？

一位朋友正在調查他的一些伺服器上的入侵，他注意到其中幾個（從最近的 CentOS 一直到古老的 RHL 9）crond 程序正在偵聽埠 6550/tcp，在 /etc/services 中被標識為“fg-sysupdate”。crond 似乎沒有被黑客入侵，即使是他幾乎可以肯定的一個盒子也沒有被入侵，監聽也在發生。

我的 CentOS 機器都沒有 crond 監聽那個（或任何其他）埠。並且 crond 手冊沒有任何關於將其配置為聽或不聽的資訊。所以我們只是疑惑為什麼 crond 會在這個埠上監聽，以及如果不需要它如何關閉它。

crond 不需要監聽任何 TCP 埠。我會懷疑一個rootkit。

您的朋友遠端登錄到 6550 埠時得到什麼響應？

我會從現場 CD/DVD 啟動並比較校驗和。

引用自：https://serverfault.com/questions/201316