检查开放端口:6129被过滤

检查开放端口:6129被过滤

我已经在我的服务器上启动了安全审核,通过简单的 nmap 扫描,我发现了以下情况:

Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET
Nmap scan report for ********* (*********)
Host is up (0.021s latency).
Not shown: 997 closed ports
PORT     STATE    SERVICE
80/tcp   open     http
999/tcp  open     garcon
6129/tcp filtered unknown

端口 80 用于 HTTP,端口 999 是 OpenSSH 守护进程的自定义端口。但是 6129 过滤端口是什么?感谢 Google,我发现这个端口通常由 Dameware 使用:一个我尚未安装的远程管理软件。

我已经使用简单的“netstat -a”检查了活动连接:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:999                   *:*                     LISTEN     
tcp        0      0 localhost.localdom:9000 *:*                     LISTEN     
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN     
tcp        0      0 *:www                   *:*                     LISTEN     
tcp        0    224 *******:999 ************:58761     ESTABLISHED
tcp6       0      0 [::]:999                [::]:*                  LISTEN     
tcp6       0      0 [::]:www                [::]:*                  LISTEN     
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  4      [ ]         DGRAM                    171764732 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     171765031 /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     208767580 
unix  3      [ ]         STREAM     CONNECTED     208767579 
unix  2      [ ]         DGRAM                    208767578 
unix  3      [ ]         STREAM     CONNECTED     171765176 
unix  3      [ ]         STREAM     CONNECTED     171765175 
unix  3      [ ]         STREAM     CONNECTED     171765170 
unix  3      [ ]         STREAM     CONNECTED     171765169 
unix  3      [ ]         STREAM     CONNECTED     171765166 
unix  3      [ ]         STREAM     CONNECTED     171765165 
unix  3      [ ]         STREAM     CONNECTED     171765163 
unix  3      [ ]         STREAM     CONNECTED     171765162 
unix  2      [ ]         DGRAM                    171764989 
unix  3      [ ]         STREAM     CONNECTED     171764716 
unix  3      [ ]         STREAM     CONNECTED     171764715 

一切似乎都很好。我几天前才安装了这个服务器,我对安全性非常担心:只有 2 个远程可用的守护进程(HTTP 和 OPENSSH)、禁用 RootLogin 的自定义 SSH 端口、强化的 Web 应用程序、丢弃除 80 和 999 之外的所有流量的 iptables,等等……我可能被黑客入侵了吗?

非常感谢您的帮助

答案1

这可能是你的 ISP 过滤了该端口上的出站流量(谁知道为什么?只有他们知道)。如果你从其他地方扫描,你不太可能看到它。如果你从另一个位置(和不同的 ISP)扫描时看到它,那么它可能被服务器的 ISP 过滤了。

答案2

扫描仪用来扫描您的服务器的路径上的防火墙可能会丢弃该端口的数据包,或者不太可能的是,您的系统上存在 rootkit。

您应该能够通过扫描同一子网中另一个系统(您信任的)的同一端口来诊断这个问题(即 nmap -sT -p 6129 othersystemutrust)。

嗅探通信是另一种选择(即 tcpdump -i eth0 端口 6129),但如果它真的是一个 rootkit,它可能无法正常工作。

相关内容