Nmap 结果显示端口 3527 短暂开放然后消失。
我感觉这可能是特洛伊木马与母舰通信。或者一些正常现象,但我找不到有关此端口或 beserver-msq-q 的太多信息
我下一步该做什么?我该如何调查这样的事情?
编辑已过滤意味着它既未打开,也未关闭。这可能是 nmap 的 bug 吗?
更新我又运行了几次 nmap,假端口一直在变化。它从来都不一样,所以 3527 并不能很好地描述问题。
基本信息服务器运行openvz模板ubuntu服务器12.04。
答案1
Backup Exec Server 在其默认配置中使用端口 3527(tcp 和 udp)。您的服务器上有此软件吗?
如果不是,那么它可能是一个木马,它试图打开一些常用端口以便与外界进行通信或进行短时间的监听。
当您看到端口 3527 被使用时,尝试在您的服务器上使用 netstat 命令来检查发生了什么以及哪些软件正在监听。