Является ли portsentry вредоносным / бэкдором

Question

Недавно я выяснил, что программа под названием portsentry прослушивает порты 1 и 111 на моем сервере, но я не помню, чтобы ее устанавливали!

Интересно, это вредоносный сервис?

Я искал в журналах и нашел это:

portsentry is not up to date (Wed Dec 31 19:00:00 1969)
Fetching http://httpupdate.cpanel.net/pub/sysup/9-64/portsentry/portsentry-1.1-5.x86_64.rpm (0)....@74.50.xxx.xxx......connected......receiving...100%......Done
portsentry                  ##################################################

Sep 13 06:35:47 host portsentry[4681]: adminalert: Psionic PortSentry 1.1 is starting.
Sep 13 06:35:48 host portsentry[4685]: adminalert: Going into listen mode on TCP port: 1
Sep 13 06:35:48 host portsentry[4685]: adminalert: Going into listen mode on TCP port: 111
Sep 13 06:35:48 host portsentry[4685]: adminalert: PortSentry is now active and listening.
Sep 13 06:35:48 host portsentry[4686]: adminalert: Psionic PortSentry 1.1 is starting.
Sep 13 06:35:48 host portsentry[4687]: adminalert: ERROR: No UDP ports supplied in config file. Aborting

У меня есть CentOS с CPanel ...

Спасибо!

Answer 1

PortSentry - это система обнаружения вторжений. Он может предупреждать вас или регистрировать любые подозреваемые попытки атаковать вашу систему удаленно. Возможно, он даже сможет сообщить об этом непосредственно вашему брандмауэру, чтобы временно повысить безопасность при подозрительном поведении. Вероятно, он поставляется с вашей операционной системой или брандмауэром, и вы должны оставить его работающим.

Answer 2

PortSentry поставляется с cPanel по умолчанию и поэтому устанавливается в вашей системе, когда у вас установлен cPanel. Если у вас установлена cPanel, вам не о чем беспокоиться.

С http://www.faqs.org/docs/securing/chap14sec116.html:

Сканирование портов - это признак появления более крупной проблемы. Он часто является предварительным курсором для атаки и является важной информацией для правильной защиты ваших информационных ресурсов. PortSentry - это программа, предназначенная для обнаружения и реагирования на сканирование портов на целевом хосте в режиме реального времени, и имеет ряд опций для обнаружения сканирования портов. Когда он находит его, он может реагировать следующими способами:

Журнал, указывающий на инцидент, создается с помощью syslog(). Целевой хост автоматически помещается в /etc/hosts.deny для TCP Wrappers. Локальный хост автоматически переконфигурируется для направления всего трафика к целевому хосту, чтобы заставить целевую систему исчезнуть. Локальный хост автоматически переконфигурируется для отбрасывания всех пакетов от цели через локальный фильтр пакетов. Цель этого - дать администратору понять, что его хост проверяется.