나는 시스템 관리를 처음 사용하고 HTTP (포트 80에서), HTTPS (포트 443에서) 및 SSH (포트 22에서)로 웹 사이트를 실행하는 서버가 있습니다.
우분투 11.04를 실행 중입니다.
개인 랩톱을 사용하여 Nmap 포트 스캔을 수행했으며이 3 포트 이외의 포트 1111도 열려있었습니다. 이것은 출력이었습니다.
1111/tcp open tcpwrapped
나는 그랬다.
sudo netstat -lntp | grep -F 1111
… 그리고 다음과 같은 결과를 얻었습니다.
tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
Monit은 우분투에서 모니터링 도구로 보입니다.
-
이것에 대해 걱정해야합니까?
-
포트 1111의 목적을 어떻게 확인합니까?
-
필요한 경우 어떻게 닫습니까?
답변
프로토콜 TCP 포트 1111이 바이러스 (빨간색)로 표시 되었기 때문에 바이러스가 포트 1111을 사용하고있는 것은 아니지만 트로이 목마 나 바이러스가 과거에이 포트를 사용하여 통신했음을 의미합니다.
따라서 바이러스 / 트로이 목마 일 수 있습니다.
Net Activity Viewer 를 사용 하여이 포트를 청취 상태로 유지하는 프로세스 / 서비스를 판별하는 것이 좋습니다 .
그런 다음 Google은 프로세스 이름으로이 프로세스 및이 포트와 관련된 바이러스가 있는지 확인합니다.
마지막으로 바이러스라고 생각되면 여기에 나오는 지침을 따르십시오 .
답변
lsof -i :1111
포트 1111에 연결된 프로세스를 찾는 데 사용할 수 있습니다 .
답변
IANA (Internet Assigned Numbers Authority) 포트 설명은 다음과 같습니다.
1111 tcp, udp lmsocialserver LM 소셜 서버
그러나 그것도 사용하는 것으로 알려져
1111 tcp trojan Daodan, Ultors Trojan Trojans
1111 udp trojan Daodan Trojans
1111 tcp threat W32.Suclove Bekkoame
1111 tcp,udp threat AIMVision Bekkoame
Trojans that use this port:
Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.
출처 :
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml
답변
이 speedguide.net 페이지는 TCP 포트 1111이 LikeMinds Socialserver라는 앱에서 사용됨을 나타내지 만 여러 멀웨어 앱에서 사용되는 것으로 알려져 있습니다. 디스크의 전체 맬웨어 검사가 올바른 것일 수 있습니다.
답변
/ etc / services 확인
일반적으로 / etc / services에 나열된 표준 서비스 포트를 찾을 수 있습니다 . 그러나 내 시스템에서 :
fgrep 1111 /etc/services
정보를 반환하지 않으므로 표준 서비스가 아닐 수 있습니다.
netstat 확인
netstat 으로 주어진 포트를 사용하는 프로그램을 확인할 수 있습니다 .
sudo netstat -lntp | fgrep 1111
그런 다음 해당 정보를 사용하여 환경에 필요한 시스템 서비스인지 판별 할 수 있습니다.
불필요한 프로세스 중지
시스템 프로세스 중지는 플랫폼에 따라 다르지만 많은 Linux 시스템에서 sudo service ssh stop
비슷한 명령을 지원 하거나을 사용하여 시작 스크립트를 직접 호출 할 수 있습니다 sudo /etc/init.d/<service> stop
. 시스템 서비스가 아닌 경우 전화 sudo kill <pid>
로 SIGTERM을 프로세스로 보낼 수 있습니다 .
서비스를 중지해도 서비스가 다시 실행되는 것을 막을 수는 없으므로 특정 플랫폼에 적합한 방식으로 실행 레벨 시작 스크립트를 조정해야 할 수도 있습니다.
답변
보낸 사람 aptitude show monit
:
Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a
Unix system. It will start specified
programs if they are not running and restart programs not responding.
사용하지 않으려는 경우 제거하거나 최소한 중지하고 자동 시작을 방지해야합니다.
/etc/init.d/monit stop
update-rc.d -f monit remove
또는 사용 방법을 익히고 필요에 따라 구성 할 수 있습니다.