我正在我们的 AWS 账户上测试 GuardDuty,有一些问题...
我们管理的每个 EC2 实例都有一个“Recon:EC2/PortProbeUnprotectedPort”发现。每个发现针对不同的端口:
- EC2 实例 1:1433
- EC2 实例 2:433
- EC2 实例 3:9000
- EC2 实例 4:554
- EC2 实例 5:110
所有实例都在 Debian 上,nmap 扫描实例 5:
Not shown: 993 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
445/tcp filtered microsoft-ds
8086/tcp open d-s-n
8088/tcp open radan-http
实例上的 Netstat 输出:
# netstat -tpln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 31962/proftpd: (acc
tcp 0 0 127.0.0.1:4949 0.0.0.0:* LISTEN 589/perl
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1106/sshd
tcp 0 0 127.0.0.1:3000 0.0.0.0:* LISTEN 5389/grafana-server
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 687/master
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp 0 0 127.0.0.1:9002 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp 0 0 127.0.0.1:9003 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp6 0 0 :::8086 :::* LISTEN 2736/influxd
tcp6 0 0 :::22 :::* LISTEN 1106/sshd
tcp6 0 0 :::8088 :::* LISTEN 2736/influxd
tcp6 0 0 :::443 :::* LISTEN 2883/apache2
tcp6 0 0 127.0.0.1:7080 :::* LISTEN 12370/java
tcp6 0 0 :::80 :::* LISTEN 2883/apache2
没有迹象表明 110 端口已开放。
对这个问题有什么合理的解释吗?
答案1
该端口在机器上未打开,但在保护机器的安全组上打开。GuardDuty 发现一个问题,即安全组中的端口已打开,但实际上并未监听。
(这只是一个猜测,我自己从未遇到过该消息,希望这会有所帮助,如果我正确,请更新!)。