我已经开始在我的服务器上进行安全审计,并使用简单的nmap扫描,我发现了以下情况:
Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET Nmap scan report for ********* (*********) Host is up (0.021s latency). Not shown: 997 closed ports PORT STATE SERVICE 80/tcp open http 999/tcp open garcon 6129/tcp filtered unknown 端口80用于HTTP,而999是OpenSSH守护进程的自定义端口。 但是什么是6129过滤端口? 感谢Google,我发现Dameware通常使用这个端口:一个我没有安装的远程pipe理员软件。
我用一个简单的“netstat -a”检查了活动连接:
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:999 *:* LISTEN tcp 0 0 localhost.localdom:9000 *:* LISTEN tcp 0 0 localhost.localdo:mysql *:* LISTEN tcp 0 0 *:www *:* LISTEN tcp 0 224 *******:999 ************:58761 ESTABLISHED tcp6 0 0 [::]:999 [::]:* LISTEN tcp6 0 0 [::]:www [::]:* LISTEN Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node Path unix 4 [ ] DGRAM 171764732 /dev/log unix 2 [ ACC ] STREAM LISTENING 171765031 /var/run/mysqld/mysqld.sock unix 3 [ ] STREAM CONNECTED 208767580 unix 3 [ ] STREAM CONNECTED 208767579 unix 2 [ ] DGRAM 208767578 unix 3 [ ] STREAM CONNECTED 171765176 unix 3 [ ] STREAM CONNECTED 171765175 unix 3 [ ] STREAM CONNECTED 171765170 unix 3 [ ] STREAM CONNECTED 171765169 unix 3 [ ] STREAM CONNECTED 171765166 unix 3 [ ] STREAM CONNECTED 171765165 unix 3 [ ] STREAM CONNECTED 171765163 unix 3 [ ] STREAM CONNECTED 171765162 unix 2 [ ] DGRAM 171764989 unix 3 [ ] STREAM CONNECTED 171764716 unix 3 [ ] STREAM CONNECTED 171764715
一切似乎都好。 我只在几天前安装了这台服务器,而且我对安全性非常偏执:远程(HTTP和OPENSSH)只有2个可用的守护进程,禁用了RootLogin的自定义SSH端口,强化的Web应用程序,iptables, 999,还有更多….是否有可能被黑客入侵?
非常感谢您的帮助
这可能是您的ISP过滤该端口上的出站stream量(谁知道为什么?只有他们这样做)。 如果您从其他地方扫描,您不太可能看到它。 如果您从另一个位置(和另一个ISP)扫描时看到它,则可能是由服务器的ISP过滤。
扫描器正在使用的path上的一个防火墙来捅你的服务器正在丢弃这个端口的数据包,或者你的系统上有一个rootkit。
您应该能够通过扫描同一子网(即nmap -sT -p 6129 othersystemutrust)的其他系统(您信任)的相同端口来诊断此问题。
嗅探通信是另一种select(即tcpdump -i eth0端口6129),但如果它真的是rootkit,则可能无法正常工作。