为什么1111端口是开放的,所以安全吗?

9

我是系统管理的新手,有一台服务器运行一个带有HTTP(在端口80),HTTPS(在端口443)和SSH(在端口22)的网站。

我正在运行Ubuntu 11.04。

我使用个人笔记本电脑进行了Nmap端口扫描,除了这3个端口外,端口1111也处于打开状态。这是输出:

1111/tcp open tcpwrapped

然后我做了:

sudo netstat -lntp | grep -F 1111

...并获得以下输出:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit似乎是Ubuntu中的监视工具。

  • 我应该为此担心吗?

  • 如何确定端口1111的用途?

  • 如果需要如何关闭它?

linux  networking  security  port  tcp 
n
source
如果nmap报告“ tcpwrapped”,您还可以在/etc/hosts.allow或/etc/hosts.deny中查看实际包装了哪些服务。
CodeGnome 2012年
我在Linux上。病态更新帖子添加。
nknj 2012年
@CodeGnome我检查了这些文件,它们都为空(其中的所有内容均被注释掉了有关如何使用此文件的信息)。
nknj 2012年
Monit主页。
CodeGnome 2012年
我正在联系我的托管服务,以检查他们是否做了某些事情来启用此功能。
nknj 2012年

Answers:

5

根据此参考:

由于协议TCP端口1111被标记为病毒(红色)并不意味着病毒正在使用端口1111,而是特洛伊木马或病毒过去曾使用此端口进行通信。

因此,它可能是病毒/木马。

我建议您使用Net Activity Viewer来确定哪些进程/服务使此端口处于侦听状态:

在此处输入图片说明

之后,请使用Google的进程名称,以查看是否存在与此进程和此端口相关的病毒。

最后,如果您认为它是病毒,请按照此处指导进行操作。

迪奥戈
source
我在Linux机器上。是sudo netstat -lntp | fgrep 1111的这等同?
nknj 2012年
@Nikunj编辑为Linux TCP View程序。netstat可能无法列出与进程相关的prot。
Diogo 2012年
非常感谢@Diogo。是否有CLI可以帮助我做到这一点?我的服务器上没有安装ubuntu gui
nknj 2012年
看起来iftop和iptraf是cmd行上的替代项。
nknj 2012年
1
Diogo
3

您可以lsof -i :1111用来查找连接到端口1111的进程。

达丁克
source
2

IANA(互联网号码分配机构)的端口说明为:

1111 tcp,udp lmsocialserver LM社交服务器

但它也被称为 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

资料来源:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

琉克
source
1

这个speedguide.net页面指​​示TCP端口1111被一个名为LikeMinds Socialserver的应用程序使用,但是它也说它已被多个恶意软件应用程序使用。可能是对磁盘进行了完整的恶意软件扫描。

弗兰
source
1

检查/ etc / services

通常,您可以在/ etc / services中找到列出的标准服务端口。但是,在我的系统上:

fgrep 1111 /etc/services

不返回任何信息,因此它可能不是标准服务。

检查netstat

您可以通过netstat查看哪些程序正在使用给定的端口。

sudo netstat -lntp | fgrep 1111

然后,您可以使用该信息来确定它是否是您的环境必需的系统服务。

停止不必要的进程

停止系统进程在某种程度上是特定于平台的,但是许多Linux系统支持一个sudo service ssh stop或类似的命令,或者您可以直接使用调用启动脚本sudo /etc/init.d/<service> stop。如果不是系统服务,则可以调用sudo kill <pid>将SIGTERM发送到该进程。

请注意,停止服务不会阻止其再次运行,因此您可能还需要以适合特定平台的任何方式调整运行级别的启动脚本。

CodeGnome
source
谢谢你 fgrep 1111 /etc/service没有提供任何信息。sudo netstat -lntp | fgrep 1111但是提供了以下输出:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj 2012年
使用grep -F代替fgrep。引用来源man grep不建议使用直接调用[…],但提供该功能是为了允许依赖它们的历史应用程序可以不经修改地运行。
Marco Marco
谢谢@Marco。这仍然给出相同的输出。知道发生了什么吗?这是病毒吗?
nknj 2012年
1

来自aptitude show monit

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

如果您不打算使用它,则应卸载它或至少停止它并防止自动启动

/etc/init.d/monit stop
update-rc.d -f monit remove

或者,您可以学习使用它并根据需要进行配置。

顺兹先生
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.