Почему открыт порт 1111, и безопасно ли быть?

Я новичок в системном администрировании и имею сервер, на котором работает веб-сайт с HTTP (на порту 80), HTTPS (на порту 443) и SSH (в порту 22).

Я запускаю Ubuntu 11.04.

Я выполнил сканирование портов Nmap, используя мой личный ноутбук и другие, кроме этих 3 портов, был открыт порт 1111. Это был результат:

1111/tcp open tcpwrapped 

Затем я сделал:

 sudo netstat -lntp | grep -F 1111 

… и получил следующий результат:

 tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit 

Монит, похоже, является инструментом мониторинга в Ubuntu.

  • Должен ли я быть обеспокоен этим?

  • Как определить цель порта 1111?

  • Как мне закрыть его, если нужно?

Согласно этой ссылке:

Поскольку TCP-порт TCP 1111 был помечен как вирус (цветной красный), это не означает, что вирус использует порт 1111, но троянец или вирус использовали этот порт в прошлом для связи.

Таким образом, это может быть вирус / троян.

Я бы рекомендовал вам использовать Net Activity Viewer для определения того, какой процесс / обслуживание поддерживает этот порт в состоянии прослушивания:

Введите описание изображения здесь

После этого, Google имя процесса, чтобы увидеть, есть ли какие-либо вирусы, связанные с этим процессом и с этим портом.

Наконец, если вы считаете, что это вирус, просто следуйте инструкциям, приведенным здесь.

Описание порта IANA (Internet Assigned Numbers Authority):

1111 tcp, udp lmsocialserver LM Social Server

Но его также известно, что он используется

 1111 tcp trojan Daodan, Ultors Trojan Trojans 1111 udp trojan Daodan Trojans 1111 tcp threat W32.Suclove Bekkoame 1111 tcp,udp threat AIMVision Bekkoame Trojans that use this port: Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions. Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234. Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows. [email protected] (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp. 

Источники:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

На этой странице speedguide.net указано, что TCP-порт 1111 используется приложением под названием LikeMinds Socialserver, но он также говорит, что он известен тем, что он используется несколькими вредоносными приложениями. Возможно, полное сканирование вредоносных программ на вашем диске в порядке.

Проверить / etc / services

Как правило, вы можете найти стандартные служебные порты, перечисленные в / etc / services . Однако в моей системе:

 fgrep 1111 /etc/services 

Не возвращает никакой информации, поэтому, вероятно, это не стандартная услуга.

Проверить netstat

Вы можете видеть, какие программы используют данный порт с netstat .

 sudo netstat -lntp | fgrep 1111 

Затем вы можете использовать эту информацию, чтобы определить, является ли это необходимым системным сервисом для вашей среды.

Остановка ненужных процессов

Остановка системных процессов несколько специфична для платформы, но многие Linux-системы поддерживают sudo service ssh stop или аналогичную команду, или вы можете вызвать сценарий запуска напрямую с помощью sudo /etc/init.d/<service> stop . Если это не системная служба, вы можете просто вызвать sudo kill <pid> чтобы отправить SIGTERM в процесс.

Обратите внимание, что остановка службы не препятствует ее запуску снова, поэтому вам также может потребоваться настроить сценарии запуска на уровне запуска любым способом, подходящим для вашей конкретной платформы.

С точки aptitude show monit :

 Description: utility for monitoring and managing daemons or similar programs monit is a utility for monitoring and managing daemons or similar programs running on a Unix system. It will start specified programs if they are not running and restart programs not responding. 

Если вы не планируете использовать его, вы должны удалить его или, по крайней мере, остановить его и предотвратить автоматический запуск с

 /etc/init.d/monit stop update-rc.d -f monit remove 

Или вы можете научиться его использовать и настроить в соответствии с вашими потребностями.

Вы можете использовать lsof -i :1111 чтобы найти процесс, подключенный к порту 1111.

  • максимальный размер пакета для TCP-соединения
  • Искусственно создать ошибку тайм-аута соединения
  • Как несколько клиентов одновременно подключаются к одному порту, например 80, на сервере?
  • Как работает прокси?
  • Как работает функция accept API ()?
  • Размер пустых пакетов UDP и TCP?
  • Соединение остается помеченным как ESTABLISHED, даже если хост не подключен
  • Это тот же порт, что и клиент и сервер?
  • Преобразование исходного HTTP-запроса в объект HTTPWebRequest
  • Поддерживает ли ServerSocket обратный сокет на произвольном порту?
  • как получить MAC-адрес клиента от HttpServlet?
  • Давайте будем гением компьютера.