Друг исследует взломы на некоторых из своих серверов, и он заметил, что на некоторых из них (от недавней CentOS до одного старого древнего RHL 9) процесс crond прослушивает порт 6550 / tcp, который обозначен в / etc / services как "fg-sysupdate". Кажется, что crond не взломан, и прослушивается даже один ящик, который, как он почти уверен, не был взломан.
Ни в одном из моих ящиков с CentOS crond не прослушивает этот (или любой другой) порт. И в руководстве по crond нет никакой информации о том, как настроить его на прослушивание или не прослушивание. Итак, мы просто озадачены, почему crond будет прослушивать этот порт и как его отключить, если он не нужен.
crond не нужно прослушивать какой-либо TCP-порт. Я бы заподозрил руткит.
Какой ответ получает ваш друг при подключении по телнету к порту 6550?
Я бы загрузился с live CD / DVD и сравнил контрольные суммы.