使用 nmap 发现短时间内处于过滤状态的随机端口,可能是木马?

使用 nmap 发现短时间内处于过滤状态的随机端口,可能是木马?

Nmap 结果显示端口 3527 短暂开放然后消失。

我感觉这可能是特洛伊木马与母舰通信。或者一些正常现象,但我找不到有关此端口或 beserver-msq-q 的太多信息

在此处输入图片描述

在此处输入图片描述

我下一步该做什么?我该如何调查这样的事情?

编辑已过滤意味着它既未打开,也未关闭。这可能是 nmap 的 bug 吗?

更新我又运行了几次 nmap,假端口一直在变化。它从来都不一样,所以 3527 并不能很好地描述问题。

基本信息服务器运行openvz模板ubuntu服务器12.04。

答案1

Backup Exec Server 在其默认配置中使用端口 3527(tcp 和 udp)。您的服务器上有此软件吗?

如果不是,那么它可能是一个木马,它试图打开一些常用端口以便与外界进行通信或进行短时间的监听。

当您看到端口 3527 被使用时,尝试在您的服务器上使用 netstat 命令来检查发生了什么以及哪些软件正在监听。

相关内容