GNU/Linux >> Znalost Linux >  >> Linux

Jak zjistit, který proces má v Linuxu otevřený konkrétní port?

Řešení 1:

Stejně jako Netstat, zmíněný v jiných příspěvcích, příkaz lsof by to měl umět v pohodě. Stačí použít toto:

lsof -i :<port number>

a všechny procesy by měly přijít. Používám jej na OS X poměrně často.

Článek administrace Debianu pro lsof

Řešení 2:

Upozornění:Váš systém je ohrožen.

Nástroj, který potřebujete, je lsof , který zobrazí seznam souborů (a soketů a portů). S největší pravděpodobností je nainstalován a s největší pravděpodobností se jedná o verzi útočníka, což znamená, že bude lhát vám.

Toto je skutečně rootkit. S tímto chováním jsem se již setkal a je vždy rootkit. Váš systém je kompromitován a žádné nástroje, které používáte a které pocházejí ze stejného počítače, nelze věřit. Spusťte živé CD (které obsahuje důvěryhodné binární soubory pouze pro čtení) a použijte jej k extrahování dat, nastavení atd. Jakékoli programy, které jste měli, jakékoli skripty, které jste měli, opusťte je . Nevozte je . Zacházejte s nimi a se systémem, jako by měli lepru, protože mají .

Jakmile budete hotovi, vystřelte jej z oběžné dráhy.

Proveďte to co nejdříve. Jo a odpojte připojení k síti – odepřete přístup útočníkovi.

Řešení 3:

sudo netstat -lnp

Uvádí porty, které naslouchají příchozím připojením, a související proces, který má port otevřený.

Řešení 4:

netstat -anp

"-p" mu říká, aby vypsal ID procesu, který má otevřený port. -an mu říká, aby vypsal naslouchající porty a nepřekládal názvy. Na vytížených systémech, které mohou výrazně urychlit, jak rychle se vrátí.

netstat -anp | grep "LIST"

Tím získáte pouze otevřené porty.

Řešení 5:

Pokud nevidíte port otevřený pomocí nástrojů operačního systému a máte podezření na průnik, může to být tím, že byl nainstalován rootkit.

Rootkit mohl změnit systémové nástroje, aby se vyhnul určitým procesům a portům, nebo změnit moduly jádra.

Rootkit můžete zkontrolovat pomocí několika automatických nástrojů. 'apt-cache search rootkit' zobrazuje v Ubuntu následující:

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports

Pokud náhodou máte rootkit, můžete vrátit „změněné“ do vašeho systému, ale doporučuji vám zjistit, jak k narušení došlo, a posílit systém, aby se neopakoval.

Nejsou exkluzivní pro Ubuntu, můžete je použít i v CentOS. Stačí balíček vyhledat nebo si jej stáhnout z jejich stránky.

Podle výstupu z tohoto portu se zdá, že skutečně používáte pcanywhere:„�Ы� “ je velmi podobné „Stiskněte prosím “, což je uvítací zpráva pcanywhere. Nevím, proč se proces nezobrazuje v seznamu procesů. jsi root?

Můžete také zkusit restartovat a zjistit, zda se nejedná o jednorázový proces.


Linux

  1. Jak zjistím, který proces má zámek na souboru v Linuxu?

  2. Jak zabít proces běžící na konkrétním portu v Linuxu?

  3. Jak otevřít port v Linuxu

  1. Jak zkontrolovat otevřený port na vzdáleném systému Linux

  2. Jak zabít proces běžící na konkrétním portu v Linuxu?

  3. Jak mohu zjistit, který proces má soubor otevřený v Linuxu?

  1. Jaký je proces vyřazování hardwaru vašeho serveru Linux z provozu?

  2. jak používat netstat na konkrétním portu v Linuxu

  3. Jak se naučit vnitřní části systému Linux