Я начал аудит безопасности на своем сервере и с помощью простого сканирования nmap обнаружил следующую ситуацию:
Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET
Nmap scan report for ********* (*********)
Host is up (0.021s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
80/tcp open http
999/tcp open garcon
6129/tcp filtered unknown
Порт 80 предназначен для HTTP, а 999 - это настраиваемый порт для демона OpenSSH. Но что такое порт с фильтром 6129? Благодаря Google я обнаружил, что этот порт обычно используется Dameware: программой удаленного администрирования, которую я не установил.
Я проверил активные соединения с помощью простого "netstat -a":
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:999 *:* LISTEN
tcp 0 0 localhost.localdom:9000 *:* LISTEN
tcp 0 0 localhost.localdo:mysql *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 224 *******:999 ************:58761 ESTABLISHED
tcp6 0 0 [::]:999 [::]:* LISTEN
tcp6 0 0 [::]:www [::]:* LISTEN
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 4 [ ] DGRAM 171764732 /dev/log
unix 2 [ ACC ] STREAM LISTENING 171765031 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 208767580
unix 3 [ ] STREAM CONNECTED 208767579
unix 2 [ ] DGRAM 208767578
unix 3 [ ] STREAM CONNECTED 171765176
unix 3 [ ] STREAM CONNECTED 171765175
unix 3 [ ] STREAM CONNECTED 171765170
unix 3 [ ] STREAM CONNECTED 171765169
unix 3 [ ] STREAM CONNECTED 171765166
unix 3 [ ] STREAM CONNECTED 171765165
unix 3 [ ] STREAM CONNECTED 171765163
unix 3 [ ] STREAM CONNECTED 171765162
unix 2 [ ] DGRAM 171764989
unix 3 [ ] STREAM CONNECTED 171764716
unix 3 [ ] STREAM CONNECTED 171764715
Вроде все нормально. Я установил этот сервер всего несколько дней назад, и меня очень беспокоит безопасность: только 2 доступных демона с удаленного доступа (HTTP и OPENSSH), настраиваемый порт SSH с отключенным RootLogin, усиленное веб-приложение, iptables, которые отбрасывают весь трафик, кроме 80 и 999 и многие другие .... Возможно ли, что меня взломали?
Большое спасибо за вашу помощь
Вероятно, ваш интернет-провайдер фильтрует исходящий трафик на этом порту (кто знает почему? Только они). Вы вряд ли увидите его, если отсканируете откуда-то еще. если ты делать увидеть его при сканировании из другого места (и другого интернет-провайдера), значит, он, вероятно, фильтруется провайдером сервера.
Либо брандмауэр на пути, который сканер использует для проверки вашего сервера, отбрасывает пакеты для этого порта, либо, что менее вероятно, в вашей системе есть руткит.
Вы должны иметь возможность диагностировать это, просканировав тот же порт другой системы (которой вы доверяете) той же подсети (например, nmap -sT -p 6129 othersystemutrust).
Другой вариант - прослушивание сообщений (например, tcpdump -i eth0 port 6129), но если это действительно руткит, он может не работать соответствующим образом.