포트 1111이 열린 이유는 무엇입니까?

9

나는 시스템 관리를 처음 사용하고 HTTP (포트 80에서), HTTPS (포트 443에서) 및 SSH (포트 22에서)로 웹 사이트를 실행하는 서버가 있습니다.

우분투 11.04를 실행 중입니다.

개인 랩톱을 사용하여 Nmap 포트 스캔을 수행했으며이 3 포트 이외의 포트 1111도 열려있었습니다. 이것은 출력이었습니다.

1111/tcp open tcpwrapped

나는 그랬다.

sudo netstat -lntp | grep -F 1111

... 그리고 다음과 같은 결과를 얻었습니다.

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit은 우분투에서 모니터링 도구로 보입니다.

  • 이것에 대해 걱정해야합니까?

  • 포트 1111의 목적을 어떻게 확인합니까?

  • 필요한 경우 어떻게 닫습니까?

linux  networking  security  port  tcp 
nknj
소스
nmap이 "tcpwrapped"를보고하면 /etc/hosts.allow 또는 /etc/hosts.deny에서 실제로 어떤 서비스가 랩핑되고 있는지 확인할 수 있습니다.
CodeGnome
저는 Linux에 있습니다. 게시물을 업데이트하여 추가하십시오.
nknj
@CodeGnome이 파일을 확인했는데 모두 비어 있습니다 (모든 파일에는이 파일을 사용하는 방법에 대한 정보가 주석 처리되어 있음).
nknj
Monit 홈페이지.
CodeGnome
호스팅 서비스에 연락하여이를 가능하게했는지 확인하고 있습니다.
nknj

답변:

5

이 참조 에 따르면 :

프로토콜 TCP 포트 1111이 바이러스 (빨간색)로 표시 되었기 때문에 바이러스가 포트 1111을 사용하고있는 것은 아니지만 트로이 목마 나 바이러스가 과거에이 포트를 사용하여 통신했음을 의미합니다.

따라서 바이러스 / 트로이 목마 일 수 있습니다.

Net Activity Viewer 를 사용 하여이 포트를 청취 상태로 유지하는 프로세스 / 서비스를 판별하는 것이 좋습니다 .

여기에 이미지 설명을 입력하십시오

그런 다음 Google은 프로세스 이름으로이 프로세스 및이 포트와 관련된 바이러스가 있는지 확인합니다.

마지막으로 바이러스라고 생각되면 여기에 나오는 지침을 따르십시오 .

디오고
소스
나는 리눅스 머신에있다. A는 sudo netstat -lntp | fgrep 1111이 동등한은?
nknj
@Nikunj Linux TCP View 프로그램으로 편집되었습니다. 아마도 netstat는 프로세스와 관련된 prot을 나열 할 수 없습니다.
Diogo
많은 @Diogo 감사합니다. 이 작업을 수행하는 데 도움이되는 CLI가 있습니까? 내 서버에 우분투 GUI를 설치하지 않았습니다
nknj
iftop과 iptraf는 cmd 줄의 대안입니다.
nknj
1
Diogo
3

lsof -i :1111포트 1111에 연결된 프로세스를 찾는 데 사용할 수 있습니다 .

다 딘크
소스
2

IANA (Internet Assigned Numbers Authority) 포트 설명은 다음과 같습니다.

1111 tcp, udp lmsocialserver LM 소셜 서버

그러나 그것도 사용하는 것으로 알려져 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

출처 :

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

류혁
소스
1

speedguide.net 페이지는 TCP 포트 1111이 LikeMinds Socialserver라는 앱에서 사용됨을 나타내지 만 여러 멀웨어 앱에서 사용되는 것으로 알려져 있습니다. 디스크의 전체 맬웨어 검사가 올바른 것일 수 있습니다.

프랜
소스
1

/ etc / services 확인

일반적으로 / etc / services에 나열된 표준 서비스 포트를 찾을 수 있습니다 . 그러나 내 시스템에서 :

fgrep 1111 /etc/services

정보를 반환하지 않으므로 표준 서비스가 아닐 수 있습니다.

netstat 확인

netstat 으로 주어진 포트를 사용하는 프로그램을 확인할 수 있습니다 .

sudo netstat -lntp | fgrep 1111

그런 다음 해당 정보를 사용하여 환경에 필요한 시스템 서비스인지 판별 할 수 있습니다.

불필요한 프로세스 중지

시스템 프로세스 중지는 플랫폼에 따라 다르지만 많은 Linux 시스템에서 sudo service ssh stop비슷한 명령을 지원 하거나을 사용하여 시작 스크립트를 직접 호출 할 수 있습니다 sudo /etc/init.d/<service> stop. 시스템 서비스가 아닌 경우 전화 sudo kill <pid>로 SIGTERM을 프로세스로 보낼 수 있습니다 .

서비스를 중지해도 서비스가 다시 실행되는 것을 막을 수는 없으므로 특정 플랫폼에 적합한 방식으로 실행 레벨 시작 스크립트를 조정해야 할 수도 있습니다.

코드 놈
소스
고마워 fgrep 1111 /etc/service정보를주지 않았다. sudo netstat -lntp | fgrep 1111그러나이 출력을 주었다 :tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
grep -F대신에 사용하십시오 fgrep. 인용 man grep: 직접 호출 […]은 더 이상 사용되지 않지만이를 사용하는 히스토리 애플리케이션은 수정되지 않은 상태로 실행할 수 있습니다.
Marco
감사합니다 @Marco. 이것은 여전히 ​​동일한 출력을 제공합니다. 무슨 일이야? 이 바이러스입니까?
nknj
1

보낸 사람 aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

사용하지 않으려는 경우 제거하거나 최소한 중지하고 자동 시작을 방지해야합니다.

/etc/init.d/monit stop
update-rc.d -f monit remove

또는 사용 방법을 익히고 필요에 따라 구성 할 수 있습니다.

Mr Shunz
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.