Pourquoi le port 1111 est-il ouvert et est-il sûr de l'être?

9

Je suis nouveau dans l'administration des systèmes et j'ai un serveur exécutant un site Web avec HTTP (au port 80), HTTPS (au port 443) et SSH (au port 22).

J'utilise Ubuntu 11.04.

J'ai fait une analyse de port Nmap en utilisant mon ordinateur portable personnel et à part ces 3 ports, le port 1111 était ouvert aussi. Ce fut la sortie:

1111/tcp open tcpwrapped

J'ai ensuite fait:

sudo netstat -lntp | grep -F 1111

... et a obtenu la sortie suivante:

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit semble être un outil de surveillance dans Ubuntu.

  • Dois-je m'en préoccuper?

  • Comment déterminer la fonction du port 1111?

  • Comment le fermer si j'en ai besoin?

linux networking security port tcp nknj
la source
Si nmap signale "tcpwrapped", vous pouvez également jeter un œil dans /etc/hosts.allow ou /etc/hosts.deny pour voir quel service est réellement encapsulé.
CodeGnome
Je suis sous Linux. Je mettrai à jour le message pour l'ajouter.
nknj
@CodeGnome J'ai vérifié ces fichiers et ils sont tous les deux vides (tout ce qu'ils contiennent est commenté des informations sur la façon d'utiliser ce fichier).
nknj
Page d'accueil de Monit .
CodeGnome
Je contacte mon service d'hébergement pour vérifier s'ils ont fait quelque chose pour l'activer.
nknj

Réponses:

5

Selon cette référence:

Étant donné que le port TCP 1111 du protocole a été signalé comme virus (coloré en rouge), cela ne signifie pas qu'un virus utilise le port 1111, mais qu'un cheval de Troie ou un virus a déjà utilisé ce port pour communiquer.

Il pourrait donc s'agir d'un virus / cheval de Troie.

Je vous recommande d'utiliser Net Activity Viewer pour déterminer quel processus / service garde ce port en état d'écoute:

entrez la description de l'image ici

Après cela, recherchez le nom du processus sur Google pour voir s'il existe des virus liés à ce processus et à ce port.

Enfin, si vous pensez qu'il s'agit d'un virus, suivez simplement les instructions guidées ici.

Diogo
la source
Je suis sur une machine Linux. Est-ce un sudo netstat -lntp | fgrep 1111équivalent de cela?
nknj
@Nikunj Édité dans le programme Linux TCP View. Netstat ne peut probablement pas lister les prot liés aux processus.
Diogo
Merci beaucoup @Diogo. Y a-t-il une chose CLI qui m'aide à faire cela? Je n'ai pas d'installation ubuntu gui sur mon serveur
nknj
ressemble à iftop et iptraf sont des alternatives sur la ligne cmd.
nknj
1
Essayez ce guide: cyberciti.biz/faq/what-process-has-open-linux-port
Diogo
3

Vous pouvez utiliser lsof -i :1111pour trouver le processus connecté au port 1111.

dadinck
la source
2

La description du port IANA (Internet Assigned Numbers Authority) est:

1111 tcp, udp lmsocialserver LM Social Server

Mais son également connu pour être utilisé par 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Sources:

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml

http://www.speedguide.net/port.php?port=1111

Rhyuk
la source
1

Cette page speedguide.net indique que le port TCP 1111 est utilisé par une application appelée LikeMinds Socialserver, mais il indique également qu'il est connu pour être utilisé par plusieurs applications malveillantes. Peut-être qu'une analyse complète des logiciels malveillants de votre disque est nécessaire.

Fran
la source
1

Vérifiez / etc / services

Généralement, vous pouvez trouver des ports de service standard répertoriés dans / etc / services . Cependant, sur mon système:

fgrep 1111 /etc/services

ne renvoie aucune information, il ne s'agit donc probablement pas d'un service standard.

Vérifiez netstat

Vous pouvez voir quels programmes utilisent un port donné avec netstat .

sudo netstat -lntp | fgrep 1111

Vous pouvez ensuite utiliser ces informations pour déterminer s'il s'agit d'un service système nécessaire à votre environnement.

Arrêt des processus inutiles

L'arrêt des processus système est quelque peu spécifique à la plate-forme, mais de nombreux systèmes Linux prennent en charge une sudo service ssh stopcommande ou une commande similaire, ou vous pouvez appeler le script de démarrage directement avec sudo /etc/init.d/<service> stop. S'il ne s'agit pas d'un service système, vous pouvez simplement appeler sudo kill <pid>pour envoyer SIGTERM au processus.

Notez que l'arrêt d'un service ne l'empêche pas de s'exécuter à nouveau, vous devrez peut-être également ajuster vos scripts de démarrage de niveau d'exécution de la manière appropriée pour votre plate-forme spécifique.

CodeGnome
la source
Merci pour cela. fgrep 1111 /etc/servicen'a donné aucune info. sudo netstat -lntp | fgrep 1111mais a donné cette sortie:tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit
nknj
Utilisez grep -Fau lieu de fgrep. Citation de man grep: L'invocation directe […] est déconseillée, mais est fournie pour permettre aux applications historiques qui en dépendent de s'exécuter sans modification.
Marco
Merci @Marco. Cela donne toujours la même sortie. Une idée de ce qui se passe? Est-ce un virus?
nknj
1

De aptitude show monit:

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Si vous ne prévoyez pas de l'utiliser, vous devez le désinstaller ou au moins l'arrêter et empêcher le démarrage automatique avec

/etc/init.d/monit stop
update-rc.d -f monit remove

Ou vous pouvez apprendre à l'utiliser et à le configurer selon vos besoins.

M. Shunz
la source