Mengapa port 1111 terbuka, dan apakah aman?

9

Saya baru mengenal sistem administrasi dan memiliki server yang menjalankan situs web dengan HTTP (pada port 80), HTTPS (pada port 443) dan SSH (pada port 22).

Saya menjalankan Ubuntu 11.04.

Saya melakukan pemindaian port Nmap menggunakan laptop pribadi saya dan selain 3 port ini, port 1111 juga terbuka. Ini adalah hasilnya:

1111/tcp open tcpwrapped

Saya kemudian melakukannya:

sudo netstat -lntp | grep -F 1111

... dan dapatkan output berikut:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit tampaknya menjadi alat pemantauan di Ubuntu.

  • Haruskah saya khawatir tentang ini?

  • Bagaimana cara menentukan tujuan port 1111?

  • Bagaimana saya menutupnya jika perlu?

linux networking security port tcp nknj
sumber
Jika nmap melaporkan "tcpwrapped," Anda mungkin juga melihat di /etc/hosts.allow atau /etc/hosts.deny untuk melihat layanan apa yang sebenarnya sedang dibungkus.
CodeGnome
Saya di Linux. Sakit perbarui posting untuk menambahkan ini.
nknj
@CodeGnome Saya memeriksa file-file ini dan keduanya kosong (semuanya berisi informasi tentang cara menggunakan file ini).
nknj
Halaman beranda monit .
CodeGnome
Saya menghubungi layanan hosting saya untuk memeriksa apakah mereka melakukan sesuatu untuk mengaktifkan ini.
nknj

Jawaban:

5

Menurut referensi ini:

Karena protokol TCP port 1111 ditandai sebagai virus (berwarna merah) tidak berarti virus menggunakan port 1111, tetapi Trojan atau Virus telah menggunakan port ini di masa lalu untuk berkomunikasi.

Jadi, bisa jadi itu virus / trojan.

Saya akan merekomendasikan Anda untuk menggunakan Net Activity Viewer untuk menentukan proses / layanan apa yang menjaga port ini pada kondisi mendengarkan:

masukkan deskripsi gambar di sini

Setelah ini, Google nama proses untuk melihat apakah ada virus yang terkait dengan proses ini dan ke port ini.

Akhirnya, jika Anda mengira itu adalah virus, cukup ikuti instruksi yang dipandu di sini.

Diogo
sumber
Saya menggunakan mesin linux. Apakah sudo netstat -lntp | fgrep 1111setara dengan ini?
nknj
@Nikunj Diedit ke program Linux TCP View. Mungkin netstat tidak dapat membuat daftar prot terkait dengan proses.
Diogo
Terima kasih banyak @diogo. Apakah ada hal CLI yang membantu saya melakukan ini? Saya tidak memiliki instalasi ubuntu gui di server saya
nknj
Sepertinya iftop dan iptraf adalah alternatif pada baris cmd.
nknj
1
Coba panduan ini: cyberciti.biz/faq/what-process-has-open-linux-port
Diogo
3

Anda dapat menggunakan lsof -i :1111untuk menemukan proses terhubung ke port 1111.

ayahinck
sumber
2

Deskripsi port IANA (Internet Assigned Numbers Authority) adalah:

1111 tcp, udp lmsocialserver LM Social Server

Namun diketahui juga digunakan oleh 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Sumber:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
sumber
1

Halaman speedguide.net ini menunjukkan bahwa port TCP 1111 digunakan oleh aplikasi yang disebut LikeMinds Socialserver, tetapi juga mengatakan itu dikenal digunakan oleh beberapa aplikasi malware. Mungkin pemindaian malware penuh pada disk Anda sedang dilakukan.

Fran
sumber
1

Periksa / etc / services

Secara umum, Anda dapat menemukan port layanan standar yang tercantum di / etc / services . Namun, di sistem saya:

fgrep 1111 /etc/services

tidak mengembalikan informasi, jadi itu mungkin bukan layanan standar.

Periksa netstat

Anda dapat melihat program apa yang menggunakan port yang diberikan dengan netstat .

sudo netstat -lntp | fgrep 1111

Anda kemudian dapat menggunakan informasi itu untuk menentukan apakah itu layanan sistem yang diperlukan untuk lingkungan Anda.

Menghentikan Proses yang Tidak Perlu

Menghentikan proses sistem agak khusus untuk platform, tetapi banyak sistem Linux mendukung sudo service ssh stopperintah yang serupa, atau Anda dapat langsung memanggil skrip startup sudo /etc/init.d/<service> stop. Jika ini bukan layanan sistem, Anda bisa menelepon sudo kill <pid>untuk mengirim SIGTERM ke proses.

Perhatikan bahwa menghentikan layanan tidak mencegahnya berjalan lagi, jadi Anda mungkin juga perlu menyesuaikan skrip startup runlevel dengan cara apa pun yang sesuai untuk platform spesifik Anda.

CodeGnome
sumber
Terima kasih untuk ini. fgrep 1111 /etc/servicetidak memberi info. sudo netstat -lntp | fgrep 1111Namun memberikan hasil ini:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Gunakan grep -Fsebagai ganti fgrep. Kutipan dari man grep: Doa langsung [...] sudah usang, tetapi disediakan untuk memungkinkan aplikasi historis yang bergantung pada mereka untuk menjalankannya tidak dimodifikasi.
Marco
Terima kasih @Marco. Ini masih memberikan hasil yang sama. Ada yang tahu apa yang terjadi? Apakah ini virus?
nknj
1

Dari aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Jika Anda tidak berencana untuk menggunakannya, Anda harus menghapus atau setidaknya menghentikannya dan mencegah mulai secara otomatis

/etc/init.d/monit stop
update-rc.d -f monit remove

Atau Anda dapat belajar menggunakannya dan mengonfigurasinya sesuai kebutuhan Anda.

Tuan Shunz
sumber