Назад | Перейти на главную страницу

Неизвестный процесс на порту, lsof без помощи, nfs-kernel-server?

Во время стандартной проверки безопасности мы обнаружили, что что-то прослушивает неизвестный нам порт, 2030 год, и у нас возникли проблемы с определением источника.

# netstat -anp | grep LIST
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -
....
tcp        0      0 0.0.0.0:2030            0.0.0.0:*               LISTEN      -

Оба без «процесса». Подключение к нему не дало никакой информации (отключается после ввода, скорее всего, из-за несоблюдения ожидаемого протокола), lsof -i :2030 тоже ничего. Просто чтобы убедиться, что я скопировал новый lsof бинарный, но я не уверен, какие дополнительные, возможно, скомпрометированные библиотеки он вызывает. В 2049 Я знаю, что это от nfs-kernel-server, который ведет себя одинаково (нет информации о процессе от netstat или lsof). О чудо, после перезапуска nfs-kernel-server на ящике debian пропал процесс прослушивания 2030 ....

Итак, мои вопросы:

Следует ли мне беспокоиться о скомпрометированном ящике или это действительно проблема nfs-kernel-server?
Если это проблема nfs-kernel-server, что именно происходит, почему нельзя lsof показать эту информацию?

Linux 2.6.39-2-686-pae
nfs-kernel-server 1:1.2.3-3
lsof 4.81.dfsg.1-1

Порт 2049 определенно связан со службой nfs в ядре. В моей системе работает nfsd.

:;  sudo netstat -anp | grep LIST
tcp        0      0 0.0.0.0:2049                0.0.0.0:*                   LISTEN      -

Итак, давайте посмотрим, запускаю ли я kmod для этого:

:;    lsmod | grep nfs
nfsd                  287337  17 
exportfs               38849  1 nfsd
auth_rpcgss            81889  1 nfsd
nfs                   298541  1 
lockd                 101297  3 nfsd,nfs
fscache                52385  1 nfs
nfs_acl                36673  2 nfsd,nfs
sunrpc                200073  19 nfsd,auth_rpcgss,nfs,lockd,nfs_acl

Ага! А теперь проверим, запущены ли потоки ядра:

:;  ps -aefd | grep nfs
root      3648   171  0  2011 ?        11:46:48 [nfsiod]
root      3882   171  0  2011 ?        00:00:00 [nfsd4]
root      3883     1  0  2011 ?        00:00:00 [nfsd]
root      3884     1  0  2011 ?        00:00:00 [nfsd]
root      3885     1  0  2011 ?        00:00:00 [nfsd]
root      3886     1  0  2011 ?        00:00:00 [nfsd]
root      3887     1  0  2011 ?        00:00:00 [nfsd]
root      3888     1  0  2011 ?        00:00:00 [nfsd]
root      3889     1  0  2011 ?        00:00:00 [nfsd]
root      3890     1  0  2011 ?        00:00:00 [nfsd]

Ага!

По крайней мере, вы можете таким образом подтвердить, что 2049 на самом деле является NFS.

Я не знаю, что такое 2030 год.

У вас есть, например, автоматические домашние каталоги NFS? Если да, эти прослушивающие порты исчезнут через несколько секунд / минут после выхода каждого пользователя из системы.