我已经在我的服务器上启动了安全审核,通过简单的 nmap 扫描,我发现了以下情况:
Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET
Nmap scan report for ********* (*********)
Host is up (0.021s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
80/tcp open http
999/tcp open garcon
6129/tcp filtered unknown
端口 80 用于 HTTP,端口 999 是 OpenSSH 守护进程的自定义端口。但是 6129 过滤端口是什么?感谢 Google,我发现这个端口通常由 Dameware 使用:一个我尚未安装的远程管理软件。
我已经使用简单的“netstat -a”检查了活动连接:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:999 *:* LISTEN
tcp 0 0 localhost.localdom:9000 *:* LISTEN
tcp 0 0 localhost.localdo:mysql *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 224 *******:999 ************:58761 ESTABLISHED
tcp6 0 0 [::]:999 [::]:* LISTEN
tcp6 0 0 [::]:www [::]:* LISTEN
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 4 [ ] DGRAM 171764732 /dev/log
unix 2 [ ACC ] STREAM LISTENING 171765031 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 208767580
unix 3 [ ] STREAM CONNECTED 208767579
unix 2 [ ] DGRAM 208767578
unix 3 [ ] STREAM CONNECTED 171765176
unix 3 [ ] STREAM CONNECTED 171765175
unix 3 [ ] STREAM CONNECTED 171765170
unix 3 [ ] STREAM CONNECTED 171765169
unix 3 [ ] STREAM CONNECTED 171765166
unix 3 [ ] STREAM CONNECTED 171765165
unix 3 [ ] STREAM CONNECTED 171765163
unix 3 [ ] STREAM CONNECTED 171765162
unix 2 [ ] DGRAM 171764989
unix 3 [ ] STREAM CONNECTED 171764716
unix 3 [ ] STREAM CONNECTED 171764715
一切似乎都很好。我几天前才安装了这个服务器,我对安全性非常担心:只有 2 个远程可用的守护进程(HTTP 和 OPENSSH)、禁用 RootLogin 的自定义 SSH 端口、强化的 Web 应用程序、丢弃除 80 和 999 之外的所有流量的 iptables,等等……我可能被黑客入侵了吗?
非常感谢您的帮助
答案1
这可能是你的 ISP 过滤了该端口上的出站流量(谁知道为什么?只有他们知道)。如果你从其他地方扫描,你不太可能看到它。如果你做从另一个位置(和不同的 ISP)扫描时看到它,那么它可能被服务器的 ISP 过滤了。
答案2
扫描仪用来扫描您的服务器的路径上的防火墙可能会丢弃该端口的数据包,或者不太可能的是,您的系统上存在 rootkit。
您应该能够通过扫描同一子网中另一个系统(您信任的)的同一端口来诊断这个问题(即 nmap -sT -p 6129 othersystemutrust)。
嗅探通信是另一种选择(即 tcpdump -i eth0 端口 6129),但如果它真的是一个 rootkit,它可能无法正常工作。