Почему порт 1111 открыт и безопасен ли он?

Question

Я новичок в системном администрировании и у меня есть сервер, на котором работает веб-сайт с HTTP (на порту 80), HTTPS (на порту 443) и SSH (на порту 22).

Я использую Ubuntu 11.04.

Я сделал сканирование порта Nmap, используя свой личный ноутбук и, кроме этих 3 портов, порт 1111 тоже был открыт. Это был выход:

1111/tcp open tcpwrapped

Я тогда сделал:

sudo netstat -lntp | grep -F 1111

... и получил следующий вывод:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit является инструментом мониторинга в Ubuntu.

• Должен ли я быть обеспокоен этим?

• Как определить назначение порта 1111?

• Как мне закрыть его, если мне нужно?

Answer 1

По этой ссылке:

Поскольку протокол TCP-порт 1111 был помечен как вирус (выделен красным цветом), это не означает, что вирус использует порт 1111, а что троянец или вирус использовали этот порт в прошлом для связи.

Итак, это может быть вирус / троян.

Я бы порекомендовал вам использовать Net Activity Viewer, чтобы определить, какой процесс / служба поддерживает этот порт в состоянии прослушивания:

После этого, Google имя процесса, чтобы увидеть, есть ли вирусы, связанные с этим процессом и с этим портом.

Наконец, если вы считаете, что это вирус, просто следуйте инструкциям, приведенным здесь.

Answer 2

Описание порта IANA (Управление назначенных номеров в Интернете):

1111 tcp, udp lmsocialserver LM Социальный сервер

Но его также известно для использования

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Источники:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Answer 3

Вы можете использовать lsof -i :1111 чтобы найти процесс, подключенный к порту 1111.

Answer 4

На этой странице speedguide.net указано, что TCP-порт 1111 используется приложением LikeMinds Socialserver, но также известно, что оно используется несколькими вредоносными приложениями. Возможно, полное сканирование вашего диска на вредоносное ПО в порядке.

Answer 5

Проверьте /etc /services

Как правило, вы можете найти стандартные сервисные порты, перечисленные в /etc/services. Однако в моей системе:

fgrep 1111 /etc/services

не возвращает никакой информации, так что это, вероятно, не стандартная услуга.

Проверьте netstat

Вы можете увидеть, какие программы используют данный порт с помощью netstat.

sudo netstat -lntp | fgrep 1111

Затем вы можете использовать эту информацию, чтобы определить, является ли это необходимым системным сервисом для вашей среды.

Остановка ненужных процессов

Остановка системных процессов в некоторой степени зависит от платформы, но многие системы Linux поддерживают sudo service ssh stop или аналогичную команду, или вы можете вызвать скрипт запуска напрямую с помощью sudo /etc/init.d/<service> stop . Если это не системная служба, вы можете просто вызвать sudo kill <pid> чтобы отправить SIGTERM процессу.

Обратите внимание, что остановка службы не препятствует ее повторному запуску, поэтому вам также может понадобиться настроить сценарии запуска на уровне выполнения так, как это подходит для вашей конкретной платформы.

Answer 6

Из aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Если вы не планируете использовать его, вы должны удалить его или, по крайней мере, остановить его и предотвратить автоматический запуск с

/etc/init.d/monit stop
update-rc.d -f monit remove

Или вы можете научиться использовать его и настроить его под свои нужды.