Perché la porta 1111 è aperta ed è sicuro essere?


9

Sono nuovo nell'amministrazione dei sistemi e ho un server che esegue un sito Web con HTTP (sulla porta 80), HTTPS (sulla porta 443) e SSH (sulla porta 22).

Sto eseguendo Ubuntu 11.04.

Ho fatto una scansione della porta Nmap usando il mio laptop personale e oltre a queste 3 porte, anche la porta 1111 era aperta. Questo è stato l'output:

1111/tcp open tcpwrapped

Ho quindi fatto:

sudo netstat -lntp | grep -F 1111

... e ha ottenuto il seguente output:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit sembra essere uno strumento di monitoraggio in Ubuntu.

  • Dovrei essere preoccupato per questo?

  • Come posso determinare lo scopo della porta 1111?

  • Come posso chiuderlo se necessario?


Se nmap riporta "tcpwrapped", puoi anche dare un'occhiata a /etc/hosts.allow o /etc/hosts.deny per vedere quale servizio viene effettivamente impacchettato.
CodeGnome,

Sono su Linux. Aggiornerò il post per aggiungere questo.
nknj

@CodeGnome Ho controllato questi file e sono entrambi vuoti (tutto in essi è commentato informazioni su come utilizzare questo file).
nknj

Home page di Monit .
CodeGnome,

Sto contattando il mio servizio di hosting per verificare se hanno fatto qualcosa per abilitare questo.
nknj

Risposte:


5

Secondo questo riferimento:

Poiché la porta TCP 1111 del protocollo è stata contrassegnata come virus (di colore rosso) non significa che un virus stia utilizzando la porta 1111, ma che un Trojan o Virus abbia utilizzato questa porta in passato per comunicare.

Quindi, potrebbe essere un virus / trojan.

Ti consiglierei di utilizzare Net Activity Viewer per determinare quale processo / servizio mantiene questa porta nello stato di ascolto:

inserisci qui la descrizione dell'immagine

Successivamente, Google indica il nome del processo per verificare se sono presenti virus correlati a questo processo e a questa porta.

Infine, se pensi che sia un virus, segui semplicemente le istruzioni guidate qui.


Sono su una macchina Linux. È un sudo netstat -lntp | fgrep 1111equivalente di questo?
nknj

@Nikunj Modificato per il programma TCP TCP View. Probabilmente netstat non può elencare prot relative ai processi.
Diogo,

Grazie mille @Diogo. C'è una cosa della CLI che mi aiuta a fare questo? Non ho un'installazione
guuntu

sembra che iftop e iptraf siano alternative sulla linea cmd.
nknj


3

È possibile utilizzare lsof -i :1111per trovare il processo collegato alla porta 1111.


2

La descrizione della porta IANA (Internet Assigned Numbers Authority) è:

1111 tcp, udp lmsocialserver LM Social Server

Ma è anche noto per essere utilizzato da

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

fonti:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111


1

Questa pagina speedguide.net indica che la porta TCP 1111 è utilizzata da un'app chiamata LikeMinds Socialserver, ma dice anche che è nota per essere utilizzata da diverse app malware. Forse una scansione completa del malware del tuo disco è in ordine.


1

Controlla / etc / services

Generalmente, puoi trovare le porte di servizio standard elencate in / etc / services . Tuttavia, sul mio sistema:

fgrep 1111 /etc/services

non restituisce informazioni, quindi probabilmente non è un servizio standard.

Controlla netstat

Puoi vedere quali programmi utilizzano una determinata porta con netstat .

sudo netstat -lntp | fgrep 1111

È quindi possibile utilizzare tali informazioni per determinare se si tratta di un servizio di sistema necessario per il proprio ambiente.

Arresto di processi non necessari

L'arresto dei processi di sistema è in qualche modo specifico della piattaforma, ma molti sistemi Linux supportano un sudo service ssh stopcomando simile o è possibile chiamare direttamente lo script di avvio sudo /etc/init.d/<service> stop. Se non è un servizio di sistema, puoi semplicemente chiamare sudo kill <pid>per inviare SIGTERM al processo.

Si noti che l'arresto di un servizio non ne impedisce la successiva esecuzione, pertanto potrebbe essere necessario regolare gli script di avvio del runlevel in qualsiasi modo sia appropriato per la propria piattaforma specifica.


Grazie per questo. fgrep 1111 /etc/servicenon ha dato informazioni. sudo netstat -lntp | fgrep 1111tuttavia ha dato questo risultato:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj

Usa grep -Finvece di fgrep. Citazione da man grep: L'invocazione diretta […] è obsoleta, ma viene fornita per consentire l'esecuzione di applicazioni non modificate nelle applicazioni storiche che si basano su di esse.
Marco,

Grazie @Marco. Questo dà ancora lo stesso output. Qualche idea di cosa sta succedendo? Questo è un virus?
nknj

1

Da aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Se non si prevede di utilizzarlo, è necessario disinstallarlo o almeno arrestarlo e impedire l'avvio automatico con

/etc/init.d/monit stop
update-rc.d -f monit remove

Oppure puoi imparare ad usarlo e configurarlo in base alle tue esigenze.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.