ทำไมพอร์ต 1111 เปิดและปลอดภัยที่จะเป็น?

ฉันใหม่สำหรับการดูแลระบบและมีเซิร์ฟเวอร์ที่ใช้งานเว็บไซต์ที่มี HTTP (ที่พอร์ต 80), HTTPS (ที่พอร์ต 443) และ SSH (ที่พอร์ต 22)

ฉันใช้ Ubuntu 11.04

ฉันทำการสแกนพอร์ต Nmap โดยใช้แล็ปท็อปส่วนตัวของฉันและนอกเหนือจาก 3 พอร์ตเหล่านี้แล้วพอร์ต 1111 ก็เปิดเช่นกัน นี่คือผลลัพธ์:

1111/tcp open tcpwrapped

จากนั้นฉันก็:

sudo netstat -lntp | grep -F 1111

... และได้รับผลลัพธ์ต่อไปนี้:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit ดูเหมือนจะเป็นเครื่องมือตรวจสอบใน Ubuntu

• ฉันควรจะกังวลเกี่ยวกับเรื่องนี้หรือไม่?

• ฉันจะกำหนดวัตถุประสงค์ของพอร์ต 1111 ได้อย่างไร

• ฉันจะปิดมันได้อย่างไรถ้าฉันต้องการ?

ตามการอ้างอิงนี้:

เนื่องจากโปรโตคอล TCP พอร์ต 1111 ถูกตั้งค่าสถานะเป็นไวรัส (สีแดง) ไม่ได้หมายความว่าไวรัสกำลังใช้พอร์ต 1111 แต่โทรจันหรือไวรัสใช้พอร์ตนี้ในอดีตเพื่อสื่อสาร

ดังนั้นอาจเป็นไวรัส / โทรจัน

ฉันขอแนะนำให้คุณใช้Net Activity Viewerเพื่อพิจารณาว่ากระบวนการ / บริการใดที่ทำให้พอร์ตนี้อยู่ในสถานะรับฟัง:

หลังจากนี้ Google ชื่อกระบวนการเพื่อดูว่ามีไวรัสใด ๆ ที่เกี่ยวข้องกับกระบวนการนี้และพอร์ตนี้

ท้ายที่สุดถ้าคุณคิดว่าเป็นไวรัสเพียงทำตามคำแนะนำที่นี่

คุณสามารถใช้lsof -i :1111เพื่อค้นหากระบวนการเชื่อมต่อกับพอร์ต 1111

คำอธิบายพอร์ต (การกำหนดหมายเลขอินเทอร์เน็ตที่ได้รับมอบหมาย) ของ IANA คือ:

1111 tcp, udp lmsocialserver LM Social Server

แต่มันก็เป็นที่รู้จักที่จะใช้โดย

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

แหล่งที่มา:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

นี้speedguide.netหน้าบ่งชี้ว่าพอร์ต TCP 1111 ถูกนำมาใช้โดย app ที่เรียกว่า LikeMinds Socialserver แต่ก็ยังบอกว่ามันเป็นที่รู้จักกันที่จะใช้โดยแอพพลิเคมัลแวร์หลาย อาจมีการสแกนมัลแวร์เต็มรูปแบบในดิสก์ของคุณ

ตรวจสอบ / etc / services

โดยทั่วไปแล้วคุณสามารถค้นหาพอร์ตมาตรฐานบริการที่ระบุไว้ใน/ etc / บริการ อย่างไรก็ตามในระบบของฉัน:

fgrep 1111 /etc/services

ไม่ส่งคืนข้อมูลดังนั้นจึงอาจไม่ใช่บริการมาตรฐาน

ตรวจสอบ netstat

คุณสามารถมองเห็นสิ่งที่โปรแกรมกำลังใช้พอร์ตที่กำหนดด้วยnetstat

sudo netstat -lntp | fgrep 1111

จากนั้นคุณสามารถใช้ข้อมูลนั้นเพื่อตรวจสอบว่าเป็นบริการระบบที่จำเป็นสำหรับสภาพแวดล้อมของคุณหรือไม่

การหยุดกระบวนการที่ไม่จำเป็น

หยุดกระบวนการระบบค่อนข้างแพลตฟอร์มเฉพาะ แต่ระบบ Linux จำนวนมากสนับสนุนหรือคำสั่งที่คล้ายกันหรือคุณสามารถเรียกสคริปต์เริ่มต้นโดยตรงกับsudo service ssh stop sudo /etc/init.d/<service> stopหากไม่ใช่บริการระบบคุณสามารถโทรติดต่อsudo kill <pid>เพื่อส่ง SIGTERM ไปยังกระบวนการ

โปรดทราบว่าการหยุดบริการไม่ได้ป้องกันไม่ให้ทำงานอีกครั้งดังนั้นคุณอาจจำเป็นต้องปรับเปลี่ยนสคริปต์เริ่มต้น runlevel ด้วยวิธีการที่เหมาะสมกับแพลตฟอร์มเฉพาะของคุณ

จากaptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

หากคุณไม่ได้วางแผนที่จะใช้คุณควรถอนการติดตั้งหรืออย่างน้อยก็หยุดมันและป้องกันการเริ่มต้นโดยอัตโนมัติ

/etc/init.d/monit stop
update-rc.d -f monit remove

หรือคุณสามารถเรียนรู้การใช้งานและกำหนดค่าตามความต้องการของคุณ