Проверяя одну из моих систем, я обнаружил процесс без имени на локальном хосте, порт 52698.

# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      972/sshd        
tcp        0      0 127.0.0.1:52698         0.0.0.0:*               LISTEN      13940/0         
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      1043/nrpe       
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1128/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      616/rpcbind     
tcp6       0      0 :::22                   :::*                    LISTEN      972/sshd        
tcp6       0      0 ::1:52698               :::*                    LISTEN      13940/0         
tcp6       0      0 :::443                  :::*                    LISTEN      2354/apache2    
tcp6       0      0 :::111                  :::*                    LISTEN      616/rpcbind     
tcp6       0      0 :::80                   :::*                    LISTEN      2354/apache2 

Пытаясь получить информацию о процессе в /proc, я получил это:

/proc/13940# ls -l exe
lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd

/proc/13940# cat cmdline 
sshd: ubuntu@pts/0

Похоже, процесс sshd открыл это по какой-то причине. Это нормально? Почему sshd открывает этот порт прослушивания?

2 ответа2

2

Это может быть удаленная переадресация портов. Кто-то использовал флаг -R при входе в вашу систему. Смотри man ssh:

-R [bind_address:]port:host:hostport
Указывает, что данный порт на удаленном (серверном) хосте должен быть перенаправлен на данный хост и порт на локальной стороне. Это работает путем выделения сокета для прослушивания порта на удаленной стороне, и всякий раз, когда устанавливается соединение с этим портом, соединение перенаправляется по безопасному каналу, и устанавливается соединение с хост- портом хоста с локальной машины.

Примечание: он работает с портами TCP, а не с UDP.

Я думаю, что пользователь, который создал туннель, также является владельцем /proc/13940 . Это подсказка, если вам нужно исследовать это дальше.

0

В этом конкретном случае, я думаю, это пересылка X11. Вы должны включить его, используя флаги -X или -Y или соответствующие параметры в .ss/config. Просто попробуйте отключить его и войти снова, и я в основном уверен, что он исчезнет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .