Security

為什麼 crond 監聽埠 6550/tcp (fg-sysupdate)?

  • November 12, 2010

一位朋友正在調查他的一些伺服器上的入侵,他注意到其中幾個(從最近的 CentOS 一直到古老的 RHL 9)crond 程序正在偵聽埠 6550/tcp,在 /etc/services 中被標識為“fg-sysupdate”。crond 似乎沒有被黑客入侵,即使是他幾乎可以肯定的一個盒子也沒有被入侵,監聽也在發生。

我的 CentOS 機器都沒有 crond 監聽那個(或任何其他)埠。並且 crond 手冊沒有任何關於將其配置為聽或不聽的資訊。所以我們只是疑惑為什麼 crond 會在這個埠上監聽,以及如果不需要它如何關閉它。

crond 不需要監聽任何 TCP 埠。我會懷疑一個rootkit。

您的朋友遠端登錄到 6550 埠時得到什麼響應?

我會從現場 CD/DVD 啟動並比較校驗和。

引用自:https://serverfault.com/questions/201316