Por que a porta 1111 está aberta e é segura?

9

Eu sou novo na administração de sistemas e tenho um servidor executando um site com HTTP (na porta 80), HTTPS (na porta 443) e SSH (na porta 22).

Estou executando o Ubuntu 11.04.

Fiz uma varredura de porta Nmap usando meu laptop pessoal e além dessas três portas, a porta 1111 também estava aberta. Esta foi a saída:

1111/tcp open tcpwrapped

Eu então fiz:

sudo netstat -lntp | grep -F 1111

... e obteve a seguinte saída:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

O Monit parece ser uma ferramenta de monitoramento no Ubuntu.

  • Devo me preocupar com isso?

  • Como determino o objetivo da porta 1111?

  • Como faço para fechar se preciso?

linux  networking  security  port  tcp 
nknj
fonte
Se o nmap relatar "tcpwrapped", você também pode dar uma olhada em /etc/hosts.allow ou /etc/hosts.deny para ver qual serviço está realmente sendo quebrado.
CodeGnome 19/07/2012
Eu estou no Linux. Vou atualizar a postagem para adicionar isso.
N191
@ CodeGnome Verifiquei esses arquivos e ambos estão vazios (tudo neles está comentado com informações sobre como usar esse arquivo).
Njj 19/07
Página inicial do Monit .
CodeGnome 19/07/2012
Estou entrando em contato com meu serviço de hospedagem para verificar se eles fizeram algo para ativar isso.
N195

Respostas:

5

De acordo com esta referência:

Como a porta 1111 do protocolo TCP foi sinalizada como um vírus (colorido em vermelho), não significa que um vírus esteja usando a porta 1111, mas que um Trojan ou Vírus usou essa porta no passado para se comunicar.

Portanto, pode ser um vírus / Trojan.

Eu recomendo que você use o Net Activity Viewer para determinar qual processo / serviço está mantendo essa porta no estado de escuta:

insira a descrição da imagem aqui

Depois disso, pesquise no Google o nome do processo para verificar se há algum vírus relacionado a esse processo e a essa porta.

Finalmente, se você acha que é um vírus, basta seguir as instruções aqui.

Diogo
fonte
Estou em uma máquina linux. É sudo netstat -lntp | fgrep 1111equivalente a isso?
N191
@Nikunj Editado para o programa Linux TCP View. Provavelmente o netstat não pode listar prot relacionado a processos.
Diogo
Muito obrigado @Diogo. Existe uma coisa de CLI que me ajuda a fazer isso? Eu não tenho um ubuntu gui instalar no meu servidor
nknj
parece que iftop e iptraf são alternativas na linha de cmd.
N191
1
Diogo
3

Você pode usar lsof -i :1111para encontrar o processo conectado à porta 1111.

dadinck
fonte
2

A descrição da porta da IANA (Autoridade para atribuição de números na Internet) é:

1111 tcp, lmsocialserver udp LM Social Server

Mas também é conhecido por ser usado por 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Fontes:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
fonte
1

Esta página do speedguide.net indica que a porta TCP 1111 é usada por um aplicativo chamado LikeMinds Socialserver, mas também diz que é conhecido por ser usado por vários aplicativos de malware. Talvez uma verificação completa de malware do seu disco esteja em ordem.

Fran
fonte
1

Verifique / etc / services

Geralmente, você pode encontrar portas de serviço padrão listadas em / etc / services . No entanto, no meu sistema:

fgrep 1111 /etc/services

não retorna nenhuma informação, portanto, provavelmente não é um serviço padrão.

Verifique netstat

Você pode ver quais programas estão usando uma determinada porta com o netstat .

sudo netstat -lntp | fgrep 1111

Você pode usar essas informações para determinar se é um serviço de sistema necessário para o seu ambiente.

Parando processos desnecessários

A interrupção dos processos do sistema é um tanto específica da plataforma, mas muitos sistemas Linux suportam um sudo service ssh stopcomando ou similar, ou você pode chamar o script de inicialização diretamente com sudo /etc/init.d/<service> stop. Se não for um serviço do sistema, basta ligar sudo kill <pid>para enviar o SIGTERM ao processo.

Observe que a interrupção de um serviço não impede a execução novamente, portanto, você também pode precisar ajustar os scripts de inicialização do nível de execução da maneira que for apropriada para sua plataforma específica.

CodeGnome
fonte
Obrigado por isso. fgrep 1111 /etc/servicenão deu informações. sudo netstat -lntp | fgrep 1111no entanto, deu esta saída:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj 19/07/12
Use em grep -Fvez de fgrep. Citação de man grep: A chamada direta […] foi descontinuada, mas é fornecida para permitir que aplicativos históricos que dependem deles sejam executados sem modificação.
Marco
Obrigado @Marco. Isso ainda dá a mesma saída. Alguma idéia do que está acontecendo? Isso é um vírus?
N191
1

De aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Se você não planeja usá-lo, desinstale-o ou, pelo menos, pare-o e evite o início automático com

/etc/init.d/monit stop
update-rc.d -f monit remove

Ou você pode aprender a usá-lo e configurá-lo de acordo com suas necessidades.

Mr Shunz
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.