なぜポート1111が開いているのですか？それは安全ですか？

9

私はシステム管理の初心者で、HTTP（ポート80）、HTTPS（ポート443）、SSH（ポート22）を備えたWebサイトを実行しているサーバーがあります。

Ubuntu 11.04を実行しています。

私の個人用ラップトップを使用してNmapポートスキャンを実行しました。これらの3つのポート以外に、ポート1111も開いていました。これは出力でした：

1111/tcp open tcpwrapped

私はそれから：

sudo netstat -lntp | grep -F 1111

...そして次の出力を得ました：

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

MonitはUbuntuの監視ツールのようです。

これについて心配する必要がありますか？
ポート1111の目的を判断するにはどうすればよいですか？
必要な場合はどうすれば閉じることができますか？

— nknj
ソース

nmapが「tcpwrapped」を報告する場合は、/ etc / hosts.allowまたは/etc/hosts.denyを調べて、実際にラップされているサービスを確認することもできます。

— CodeGnome 2012

私はLinuxを使用しています。これを追加するために投稿を更新します。

— nknj 2012

@CodeGnomeこれらのファイルを確認したところ、どちらも空になっています（これらのファイルはすべて、このファイルの使用方法に関する情報がコメント化されています）。

— nknj 2012

モニターのホームページ。

— CodeGnome 2012

ホスティングサービスに連絡して、これを可能にするために何かをしたかどうかを確認しています。

— nknj 2012

5

この参照によると：

プロトコルTCPポート1111にウイルスのフラグが付けられているため（赤色）、ウイルスがポート1111を使用しているわけではなく、トロイの木馬またはウイルスが過去にこのポートを使用して通信していたことを意味します。

したがって、ウイルス/トロイの木馬である可能性があります。

Net Activity Viewerを使用して、どのプロセス/サービスがこのポートをリスニング状態に維持しているかを確認することをお勧めします。

この後、プロセス名をグーグルして、このプロセスとこのポートに関連するウイルスがあるかどうかを確認します。

最後に、ウイルスであると思われる場合は、ここで説明されている指示に従ってください。

— ディオゴ
ソース

私はLinuxマシンを使用しています。でsudo netstat -lntp | fgrep 1111、この同等のは？

— nknj 2012

@Nikunj Linux TCP Viewプログラムに編集。おそらくnetstatは、プロセスに関連するprotをリストできません。

— ディオゴ2012

@Diogoに感謝します。これを行うのに役立つCLIはありますか？私は自分のサーバー上のUbuntuのGUIをインストールする必要はありません

— nknj

iftopとiptrafがcmd行の代替であるように見えます。

— nknj

1

このガイドを試してください：cyberciti.biz/faq/what-process-has-open-linux-port

— Diogo

3

を使用lsof -i :1111して、ポート1111に接続されているプロセスを見つけることができます。

— ダディンク
ソース

2

IANA（Internet Assigned Numbers Authority）のポートの説明は次のとおりです。

1111 tcp、udp lmsocialserver LMソーシャルサーバー

しかし、それはまた、

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

出典：

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

— リューク
ソース

1

このspeedguide.netページは、TCPポート1111がLikeMinds Socialserverというアプリで使用されていることを示していますが、いくつかのマルウェアアプリで使用されていることもわかっています。おそらく、ディスクの完全なマルウェアスキャンが必要です。

— フラン
ソース

1

/ etc / servicesを確認します

通常、/ etc / servicesにリストされている標準サービスポートを見つけることができます。ただし、私のシステムでは：

fgrep 1111 /etc/services

は情報を返さないため、おそらく標準サービスではありません。

netstatを確認する

netstatを使用すると、特定のポートを使用しているプログラムを確認できます。

sudo netstat -lntp | fgrep 1111

次に、その情報を使用して、それが環境に必要なシステムサービスであるかどうかを判断できます。

不要なプロセスの停止

システムプロセスの停止は多少プラットフォーム固有ですが、多くのLinuxシステムはsudo service ssh stopまたは同様のコマンドをサポートしています。または、で直接起動スクリプトを呼び出すことができますsudo /etc/init.d/<service> stop。システムサービスでない場合は、呼び出しsudo kill <pid>てプロセスにSIGTERMを送信できます。

サービスを停止してもサービスの再実行は妨げられないため、特定のプラットフォームに適した方法でランレベルの起動スクリプトを調整する必要がある場合もあります。

— CodeGnome
ソース

これをありがとう。fgrep 1111 /etc/service情報はありませんでした。sudo netstat -lntp | fgrep 1111しかし、この出力を与えた：tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

— nknj

のgrep -F代わりに使用しますfgrep。引用元man grep：直接呼び出し[…]は非推奨ですが、それらに依存する履歴アプリケーションを変更せずに実行できるようにするために提供されています。

— マルコ

@Marcoに感謝します。これでも同じ出力が得られます。何が起こっているのですか？これはウイルスですか？

— nknj

1

からaptitude show monit：

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

使用する予定がない場合は、アンインストールするか、少なくとも停止して、自動起動を防止する必要があります。

/etc/init.d/monit stop
update-rc.d -f monit remove

または、使用方法を学び、ニーズに合わせて構成することもできます。

— シュンツ氏
ソース