¿Por qué está abierto el puerto 1111 y es seguro estarlo?

9

Soy nuevo en administración de sistemas y tengo un servidor que ejecuta un sitio web con HTTP (en el puerto 80), HTTPS (en el puerto 443) y SSH (en el puerto 22).

Estoy ejecutando Ubuntu 11.04.

Hice un escaneo de puertos Nmap usando mi computadora portátil personal y, aparte de estos 3 puertos, el puerto 1111 también estaba abierto. Este fue el resultado:

1111/tcp open tcpwrapped

Entonces hice:

sudo netstat -lntp | grep -F 1111

... y obtuve el siguiente resultado:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit parece ser una herramienta de monitoreo en Ubuntu.

  • ¿Debería preocuparme por esto?

  • ¿Cómo determino el propósito del puerto 1111?

  • ¿Cómo lo cierro si lo necesito?

linux networking security port tcp nknj
fuente
Si nmap informa "tcpwrapped", también puede echar un vistazo en /etc/hosts.allow o /etc/hosts.deny para ver qué servicio se está ajustando realmente.
CodeGnome
Estoy en Linux Actualizaré la publicación para agregar esto.
nknj
@CodeGnome Revisé estos archivos y ambos están vacíos (todo en ellos contiene información comentada sobre cómo usar este archivo).
nknj
Página de inicio de Monit .
CodeGnome
Me estoy comunicando con mi servicio de alojamiento para verificar si hicieron algo para habilitar esto.
nknj

Respuestas:

5

De acuerdo con esta referencia:

Debido a que el puerto TCP 1111 del protocolo se marcó como virus (de color rojo) no significa que un virus esté usando el puerto 1111, sino que un troyano o virus ha usado este puerto en el pasado para comunicarse.

Entonces, podría ser un virus / troyano.

Le recomendaría que use Net Activity Viewer para determinar qué proceso / servicio mantiene este puerto en estado de escucha:

ingrese la descripción de la imagen aquí

Después de esto, busque el nombre del proceso en Google para ver si hay algún virus relacionado con este proceso y con este puerto.

Finalmente, si crees que es un virus, solo sigue las instrucciones que se guían aquí.

Diogo
fuente
Estoy en una máquina Linux. ¿Es un sudo netstat -lntp | fgrep 1111equivalente de esto?
nknj
@Nikunj Editado en el programa Linux TCP View. Probablemente netstat no puede enumerar prot relacionados con procesos.
Diogo
Muchas gracias @Diogo. ¿Hay algo de CLI que me ayude a hacer esto? No tengo una ubuntu gui install en mi servidor
nknj
Parece que iftop e iptraf son alternativas en la línea cmd.
nknj
1
Pruebe esta guía: cyberciti.biz/faq/what-process-has-open-linux-port
Diogo
3

Puede utilizar lsof -i :1111para encontrar el proceso conectado al puerto 1111.

Dadinck
fuente
2

La descripción del puerto de la IANA (Autoridad de Números Asignados de Internet) es:

1111 tcp, udp lmsocialserver LM Social Server

Pero también se sabe que es utilizado por 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Fuentes:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
fuente
1

Esta página de speedguide.net indica que el puerto TCP 1111 es usado por una aplicación llamada LikeMinds Socialserver, pero también dice que varias aplicaciones de malware lo usan. Quizás sea necesario un análisis completo de malware de su disco.

Fran
fuente
1

Verifique / etc / services

En general, puede encontrar los puertos de servicio estándar enumerados en / etc / services . Sin embargo, en mi sistema:

fgrep 1111 /etc/services

no devuelve información, por lo que probablemente no sea un servicio estándar.

Comprobar netstat

Puede ver qué programas están usando un puerto determinado con netstat .

sudo netstat -lntp | fgrep 1111

Luego puede usar esa información para determinar si es un servicio del sistema necesario para su entorno.

Detener procesos innecesarios

Detener los procesos del sistema es algo específico de la plataforma, pero muchos sistemas Linux admiten un sudo service ssh stopcomando o un comando similar, o puede llamar al script de inicio directamente con sudo /etc/init.d/<service> stop. Si no es un servicio del sistema, puede llamar sudo kill <pid>para enviar SIGTERM al proceso.

Tenga en cuenta que detener un servicio no impide que vuelva a ejecutarse, por lo que es posible que también deba ajustar sus scripts de inicio de nivel de ejecución de la manera que sea apropiada para su plataforma específica.

CodeGnome
fuente
Gracias por esto. fgrep 1111 /etc/serviceno dio información sudo netstat -lntp | fgrep 1111sin embargo dio este resultado:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Usar en grep -Flugar de fgrep. Cita de man grep: La invocación directa [...] está en desuso, pero se proporciona para permitir que las aplicaciones históricas que se basan en ellas se ejecuten sin modificaciones.
Marco
Gracias @Marco. Esto todavía da el mismo resultado. ¿Tienes idea de lo que está pasando? ¿Es esto un virus?
nknj
1

De aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Si no planea usarlo, debe desinstalarlo o al menos detenerlo y evitar el inicio automático con

/etc/init.d/monit stop
update-rc.d -f monit remove

O puede aprender a usarlo y configurarlo según sus necesidades.

Señor shunz
fuente