Назад | Перейти на главную страницу

Проверить открытый порт: 6129 отфильтровано

Я начал аудит безопасности на своем сервере и с помощью простого сканирования nmap обнаружил следующую ситуацию:

Starting Nmap 5.21 ( http://nmap.org ) at 2012-10-31 17:14 CET
Nmap scan report for ********* (*********)
Host is up (0.021s latency).
Not shown: 997 closed ports
PORT     STATE    SERVICE
80/tcp   open     http
999/tcp  open     garcon
6129/tcp filtered unknown

Порт 80 предназначен для HTTP, а 999 - это настраиваемый порт для демона OpenSSH. Но что такое порт с фильтром 6129? Благодаря Google я обнаружил, что этот порт обычно используется Dameware: программой удаленного администрирования, которую я не установил.

Я проверил активные соединения с помощью простого "netstat -a":

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:999                   *:*                     LISTEN     
tcp        0      0 localhost.localdom:9000 *:*                     LISTEN     
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN     
tcp        0      0 *:www                   *:*                     LISTEN     
tcp        0    224 *******:999 ************:58761     ESTABLISHED
tcp6       0      0 [::]:999                [::]:*                  LISTEN     
tcp6       0      0 [::]:www                [::]:*                  LISTEN     
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  4      [ ]         DGRAM                    171764732 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     171765031 /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     208767580 
unix  3      [ ]         STREAM     CONNECTED     208767579 
unix  2      [ ]         DGRAM                    208767578 
unix  3      [ ]         STREAM     CONNECTED     171765176 
unix  3      [ ]         STREAM     CONNECTED     171765175 
unix  3      [ ]         STREAM     CONNECTED     171765170 
unix  3      [ ]         STREAM     CONNECTED     171765169 
unix  3      [ ]         STREAM     CONNECTED     171765166 
unix  3      [ ]         STREAM     CONNECTED     171765165 
unix  3      [ ]         STREAM     CONNECTED     171765163 
unix  3      [ ]         STREAM     CONNECTED     171765162 
unix  2      [ ]         DGRAM                    171764989 
unix  3      [ ]         STREAM     CONNECTED     171764716 
unix  3      [ ]         STREAM     CONNECTED     171764715 

Вроде все нормально. Я установил этот сервер всего несколько дней назад, и меня очень беспокоит безопасность: только 2 доступных демона с удаленного доступа (HTTP и OPENSSH), настраиваемый порт SSH с отключенным RootLogin, усиленное веб-приложение, iptables, которые отбрасывают весь трафик, кроме 80 и 999 и многие другие .... Возможно ли, что меня взломали?

Большое спасибо за вашу помощь

Вероятно, ваш интернет-провайдер фильтрует исходящий трафик на этом порту (кто знает почему? Только они). Вы вряд ли увидите его, если отсканируете откуда-то еще. если ты делать увидеть его при сканировании из другого места (и другого интернет-провайдера), значит, он, вероятно, фильтруется провайдером сервера.

Либо брандмауэр на пути, который сканер использует для проверки вашего сервера, отбрасывает пакеты для этого порта, либо, что менее вероятно, в вашей системе есть руткит.

Вы должны иметь возможность диагностировать это, просканировав тот же порт другой системы (которой вы доверяете) той же подсети (например, nmap -sT -p 6129 othersystemutrust).

Другой вариант - прослушивание сообщений (например, tcpdump -i eth0 port 6129), но если это действительно руткит, он может не работать соответствующим образом.