Security
為什麼 crond 監聽埠 6550/tcp (fg-sysupdate)?
一位朋友正在調查他的一些伺服器上的入侵,他注意到其中幾個(從最近的 CentOS 一直到古老的 RHL 9)crond 程序正在偵聽埠 6550/tcp,在 /etc/services 中被標識為“fg-sysupdate”。crond 似乎沒有被黑客入侵,即使是他幾乎可以肯定的一個盒子也沒有被入侵,監聽也在發生。
我的 CentOS 機器都沒有 crond 監聽那個(或任何其他)埠。並且 crond 手冊沒有任何關於將其配置為聽或不聽的資訊。所以我們只是疑惑為什麼 crond 會在這個埠上監聽,以及如果不需要它如何關閉它。
crond 不需要監聽任何 TCP 埠。我會懷疑一個rootkit。
您的朋友遠端登錄到 6550 埠時得到什麼響應?
我會從現場 CD/DVD 啟動並比較校驗和。