Я запустил nmap на моем сервере и обнаружил странный открытый порт. Я пытаюсь выяснить, есть ли способ сопоставить этот порт с конкретным процессом, но я не знаю, есть ли такой инструмент.
Какие-либо предложения?
linux
networking
jnman
источник
источник
Ответы:
Как и Netstat, упомянутый в других постах, команда lsof должна справиться с этой задачей. Просто используйте это:
lsof -i :<port number>
и все процессы должны пройти. Я использую его на OS X довольно часто.
Статья по администрированию Debian для lsof
источник
Предупреждение: ваша система взломана.
Инструмент, который вам нужен, -
lsof
это список файлов (а также сокетов и портов). Скорее всего, он установлен, и, скорее всего, это версия злоумышленника, а значит, он будет вам лгать .Это действительно руткит. Я видел такое поведение раньше, и это всегда руткит. Ваша система взломана, и никаким инструментам, которые вы используете, которые исходят с того же компьютера, нельзя доверять. Загрузитесь с Live CD (который содержит доверенные двоичные файлы только для чтения) и используйте его для извлечения ваших данных, настроек и т. Д. Любые программы, которые у вас были, любые сценарии, которые вы использовали, откажитесь от них . Не приноси их . Относитесь к ним и к системе, как к проказе, потому что они есть .
Как только вы закончите, сбросьте его с орбиты .
Сделайте это как можно скорее. О, и отключите сетевое соединение - запретите доступ злоумышленнику.
источник
Перечисляет порты, которые прослушивают входящие соединения, и связанный процесс, у которого открыт порт.
источник
netstat -anp
«-P» указывает ему перечислить идентификатор процесса, у которого открыт порт. Параметр -an указывает списку прослушиваемых портов и не разрешает имена. На загруженных системах это может значительно ускорить скорость возврата.
netstat -anp | Греп "СПИСОК"
Это просто даст вам открытые порты.
источник
Если вы не видите, что порт открыт с помощью инструментов операционной системы, и вы подозреваете вторжение, возможно, установлен руткит.
Руткит мог изменить системные инструменты, чтобы избежать определенных процессов и портов или изменить модули ядра.
Вы можете проверить руткит с помощью нескольких автоматизированных инструментов. 'apt-cache search rootkit' в Ubuntu показывает следующее:
Если у вас есть руткит, вы можете вернуть «измененные» в вашу систему, но я рекомендую вам выяснить, как было сделано вторжение, и укрепить систему, чтобы она не повторялась.
Они не являются эксклюзивными для Ubuntu, их можно использовать и в CentOS. Просто найдите пакет или загрузите его со своей страницы.
По выводу из этого порта кажется, что вы действительно используете pcany где-то: « Ы <Enter>» очень похоже на «Пожалуйста, нажмите <Enter>», которое является приветственным сообщением pcanywhere. Я не знаю, почему процесс не отображается в списке процессов. Вы рут?
Вы также можете попробовать перезагрузить компьютер, чтобы увидеть, запущен ли он один раз.
источник
Чтобы разъяснить ответ @bjtitus, вы можете получить очень подробную информацию, например:
Я сразу вижу, что squid - это процесс, но на самом деле мой
squid-deb-proxy
захватывает порт.Еще один хороший пример Java-приложения:
В
lsof
(LiSt Open Files) вы можете видеть, что это Java, что менее чем полезно. Запустивps
команду с PID, мы сразу увидим, что это CrashPlan.источник