nmap 显示 centos 7 VPS 上的 8080/tcp 开放 http 代理,但 lsof 没有显示该端口

nmap 显示 centos 7 VPS 上的 8080/tcp 开放 http 代理,但 lsof 没有显示该端口

过去几年我一直在运行 Centos 7 VPS 服务器。最初设置时我没有安装任何防火墙(iptables特别是),因为我以为主机(linode)需要打开防火墙才能从他们那边管理该盒子。是的,我知道,这是一个非常愚蠢的错误。其他东西ssh,比如apache等,我都锁定并加固了,fail2ban并且我会在需要时每天打补丁。

此时,我相信我很可能在关闭 iptables并锁定后遭到了黑客攻击。这是一个LAMP盒子。目前我没有证据,只是怀疑。我是唯一的用户,一切正常。

现在,当我运行nmap服务器时,我已经按我想要的方式锁定了所有内容,但我看到以下内容打开,尽管iptables应该通过 DROP 阻止 8080:

sudo nmap -sS -O -p8080 x.x.x.x

Starting Nmap 7.94 ( https://nmap.org ) at 2023-06-09 19:52 MST
Nmap scan report for mydomain.com (x.x.x.x)
Host is up (0.018s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 2.6.32 (94%), Linux 2.6.32 or 3.10 (94%), Linux 2.6.35 (94%), Linux 3.5 (94%), Linux 4.2 (94%), Tandberg VCS video conferencing system (94%), Synology DiskStation Manager 5.1 (94%), Linux 2.6.39 (92%), Linux 3.10 (92%), Linux 3.10 - 3.12 (92%)
No exact OS matches for host (test conditions non-ideal).

正在运行lsof并且没有在端口 8080 上显示任何内容,但是我确实看到rpcbind列出了一些内容,并且不确定其中是否有相关内容?

COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
rpcbind   451    rpc    6u  IPv4  25873      0t0  UDP *:sunrpc 
rpcbind   451    rpc    7u  IPv4  25922      0t0  UDP *:compaq-evm 
rpcbind   451    rpc    8u  IPv4  25923      0t0  TCP *:sunrpc (LISTEN)
rpcbind   451    rpc    9u  IPv6  25924      0t0  UDP *:sunrpc 
rpcbind   451    rpc   10u  IPv6  25925      0t0  UDP *:compaq-evm 
rpcbind   451    rpc   11u  IPv6  25926      0t0  TCP *:sunrpc (LISTEN)

从外部我可以telnet x.x.x.x 8080并且它会响应,但是尝试使用常用GET HTTP/1.1命令根本没有回复并且它会在一分钟左右后超时。

当我telnet进入端口 8080 时,运行lsof | grep http并看到以下内容:

lsof | grep http
NetworkMa   514          root  mem       REG                8,0    162144       5038 /usr/lib64/libnghttp2.so.14.17.0
gmain       514   517    root  mem       REG                8,0    162144       5038 /usr/lib64/libnghttp2.so.14.17.0
gdbus       514   519    root  mem       REG                8,0    162144       5038 /usr/lib64/libnghttp2.so.14.17.0

我没有运行nghttp2,所以我猜测它是Linode他们预先安装的管理包的一部分?

关于如何找到并终止此进程,您有什么想法吗?了解它是什么也是一大福利,但只要能摆脱它,我就很高兴了。

谢谢您的任何建议或指点。

答案1

似乎lsof没有显示创建该 8080 绑定的用户所拥有的套接字。
从此输出来看,它显示 NetworkMa[nager?] 的 pid=514(如果我没有标头就正确获取了它)

lsof | grep http
NetworkMa   514 ...

此服务是否会自动重启?pstree可以显示该过程的链(可能可以澄清一点)

ps 无法将其放在评论中,因此只能在答案中添加

相关内容