一位朋友正在调查他的一些服务器上的入侵事件,他注意到其中几台服务器上(从最新的 CentOS 一直到古老的 RHL 9)的 crond 进程正在监听端口 6550/tcp,该端口在 /etc/services 中被标识为“fg-sysupdate”。crond 似乎没有被黑客入侵,甚至在他几乎确定没有被入侵的一台机器上也发生了监听。
我的所有 CentOS 机器都没有 crond 监听该端口(或其他任何端口)。而且 crond 手册中没有关于如何配置它监听或不监听的信息。所以我们很困惑,为什么 crond 会监听这个端口,以及如果不需要它,如何关闭它。
答案1
crond 不需要监听任何 TCP 端口。我怀疑是 rootkit。
当您的朋友通过 telnet 连接到端口 6550 时得到了什么响应?
我将从实时 CD/DVD 启动并比较校验和。