我最近发现一个名为 portsentry 的程序正在监听我的服务器上的端口 1 和 111,但我不记得安装过它!
不知道这是不是恶意服务。
我搜索了日志并发现了以下内容:
portsentry is not up to date (Wed Dec 31 19:00:00 1969)
Fetching http://httpupdate.cpanel.net/pub/sysup/9-64/portsentry/portsentry-1.1-5.x86_64.rpm (0)[email protected]%......Done
portsentry ##################################################
Sep 13 06:35:47 host portsentry[4681]: adminalert: Psionic PortSentry 1.1 is starting.
Sep 13 06:35:48 host portsentry[4685]: adminalert: Going into listen mode on TCP port: 1
Sep 13 06:35:48 host portsentry[4685]: adminalert: Going into listen mode on TCP port: 111
Sep 13 06:35:48 host portsentry[4685]: adminalert: PortSentry is now active and listening.
Sep 13 06:35:48 host portsentry[4686]: adminalert: Psionic PortSentry 1.1 is starting.
Sep 13 06:35:48 host portsentry[4687]: adminalert: ERROR: No UDP ports supplied in config file. Aborting
我有一个带有 CPanel 的 CentOS...
谢谢你!
答案1
PortSentry 默认自带 cPanel,因此当您安装 cPanel 时,它也会安装在您的系统上。如果您确实安装了 cPanel,则无需担心。
从http://www.faqs.org/docs/securing/chap14sec116.html:
端口扫描是您即将遇到更大问题的征兆。它通常是攻击的前兆,也是正确保护您的信息资源的关键信息。PortSentry 是一个旨在实时检测和响应针对目标主机的端口扫描的程序,它有许多检测端口扫描的选项。当它发现端口扫描时,它会以以下方式做出反应:
通过 syslog() 生成指示事件的日志。目标主机会自动放入 TCP Wrappers 的 /etc/hosts.deny 中。本地主机会自动重新配置,以将所有到目标的流量路由到死机主机,以使目标系统消失。本地主机会自动重新配置,以通过本地数据包过滤器丢弃来自目标的所有数据包。这样做的目的是让管理员知道他们的主机正在受到探测。
答案2
PortSentry 是一种入侵检测系统。它可以向您发出警报或记录任何可疑的远程攻击您的系统的企图。它甚至可以将这些攻击直接报告给您的防火墙,以便在出现可疑行为时暂时提高安全性。它可能随您的操作系统或防火墙一起提供,您应该让它保持运行。