我是系统管理新手,有一个服务器运行一个网站,该网站使用 HTTP(在端口 80)、HTTPS(在端口 443)和 SSH(在端口 22)。
我正在运行 Ubuntu 11.04。
我使用个人笔记本电脑进行了 Nmap 端口扫描,除了这 3 个端口外,端口 1111 也处于开放状态。输出结果如下:
1111/tcp open tcpwrapped
然后我做了:
sudo netstat -lntp | grep -F 1111
...并得到以下输出:
tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
Monit 似乎是 Ubuntu 中的一个监控工具。
我应该担心这个吗?
如何确定端口 1111 的用途?
如果需要的话我该如何关闭它?
答案1
根据此参考:
因为协议 TCP 端口 1111 被标记为病毒(红色)并不意味着病毒正在使用端口 1111,而是特洛伊木马或病毒过去曾使用过该端口进行通信。
所以,它可能是一种病毒/木马。
我建议你使用网络活动查看器确定哪个进程/服务使此端口保持监听状态:
之后,用 Google 搜索该进程名称,查看是否有与该进程和该端口相关的病毒。
最后,如果您认为它是病毒,请按照此处提供了指导说明。
答案2
您可以使用lsof -i :1111
来查找连接到端口 1111 的进程。
答案3
IANA(互联网号码分配机构)的端口描述是:
1111 tcp,udp lmsocialserver LM 社交服务器
但也有人认为
1111 tcp trojan Daodan, Ultors Trojan Trojans
1111 udp trojan Daodan Trojans
1111 tcp threat W32.Suclove Bekkoame
1111 tcp,udp threat AIMVision Bekkoame
Trojans that use this port:
Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.
资料来源:
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml
答案4
这速度指南网页面显示 TCP 端口 1111 被一款名为 LikeMinds Socialserver 的应用程序使用,但它还表示已知有几款恶意软件应用程序使用该端口。也许需要对您的磁盘进行全面的恶意软件扫描。