在保护我的 VPS 时发现了这一点。无论我用 nmap 扫描哪个主机,我总是打开这 2 个端口:
1863/tcp open unknown
5190/tcp open aol
造成这种情况的原因可能是什么?
编辑:我正在执行一个简单的nmap 主机名扫描世界各地的服务器(例如,habrahabr.ru 显然只开放了 80 端口)。关于我的 VPS,网络状态-tulpn显示这些端口上没有任何监听。此外,iptables 会丢弃除 80 和 ssh 端口之外的所有端口。
答案1
我学到的一个小技巧是使用 lsof 找出哪个二进制文件打开了端口。如果 netstat -tap 没有帮助,请尝试以下操作:
lsof -i tcp:1863
lsof -i tcp:5190
如果出现“命令未找到”错误,请确保已安装 lsof 包。我唯一的另一个想法是,有时防火墙具有端口扫描检测功能,它们可能会打开随机端口,这样如果有人在扫描时点击它们,它就可以检测到该端口扫描。实际上没有什么用处,它们只是用于那个目的。
答案2
当您说“无论我扫描哪个主机”时,您是在扫描自己的主机还是外部服务器?您是否可以nmap
在问题中包含一些您运行过以获取结果的示例命令,以使这一点更清楚?
我摔倒外部的主机显示这些端口为打开状态,则您的 VPS 提供商很可能正在透明地重定向这些端口,因此其任何 VPS 客户与任何外部主机的连接都会转到他们的服务器之一(该服务器已打开端口以供记录)。主机有“禁止 IRC”和类似规则的情况并不少见,将流量重定向到被禁止协议的公共端口上将是执行此类规则的好方法(并记录尝试使用这些协议的机器,例如已被入侵并加入僵尸网络的机器)。当然,也可能是您的 VM 配置中的某些内容重定向了流量,但这种可能性较小(如果您这样做了,您会知道的,我想不出恶意代码/人会想在您背后以这种方式调整事情的原因)。
如果这是全部你的打开端口的主机/地址是另一回事,Mark 建议netstat -tap
您查看机器上是否有特定进程在积极监听这些端口,这是您的下一个诊断步骤。
答案3
编辑:误读了你原来的问题,但这仍然可以诊断出你那边是否有事情发生。
在服务器上运行
sudo netstat -tap
它应该告诉您这些端口上列出了哪些程序。