一位朋友正在调查他的一些服务器上的闯入事件,他注意到其中的几个(从最近的CentOS一直到一个古老的RHL 9),crond进程正在侦听端口6550 / tcp,在/ etc / services中被标识为“fg-sysupdate”。 c does似乎没有被黑客攻击,即使只有一个盒子,他几乎可以肯定的聆听是没有妥协的。
我的CentOS盒子都没有crond监听那个(或者其他的)端口。 而crond手册没有任何有关将其configuration为侦听或不侦听的信息。 所以我们只是困惑,为什么crond会在这个端口上监听,以及如果不需要这个端口怎么closures。
crond不需要监听任何TCP端口。 我会怀疑一个rootkit。
您的朋友在通过端口6550时得到什么回应?
我会从一个现场CD / DVD启动,并比较校验和。