GNU/Linux >> Belajar Linux >  >> Linux

Bagaimana cara mengetahui proses apa yang membuka port tertentu di Linux?

Solusi 1:

Serta Netstat, yang disebutkan di posting lain, lsof perintah harus dapat melakukan ini dengan baik. Cukup gunakan ini:

lsof -i :<port number>

dan semua proses harus muncul. Saya cukup sering menggunakannya di OS X.

Artikel Administrasi Debian untuk lsof

Solusi 2:

Peringatan:Sistem Anda disusupi.

Alat yang Anda butuhkan adalah lsof , yang akan mencantumkan file (dan soket dan port). Kemungkinan besar diinstal, dan kemungkinan besar versi penyerang, yang artinya akan berbohong untukmu.

Ini memang rootkit. Saya telah melihat perilaku ini sebelumnya, dan itu selalu sebuah rootkit. Sistem Anda dikompromikan, dan alat apa pun yang Anda gunakan yang berasal dari mesin yang sama tidak dapat dipercaya. Boot ke Live CD (yang memiliki binari tepercaya hanya-baca) dan gunakan itu untuk mengekstrak data, setelan, dll. Program apa pun yang Anda miliki, skrip apa pun yang Anda miliki, tinggalkan . Jangan bawa mereka . Perlakukan mereka, dan sistemnya, seolah-olah mereka menderita kusta, karena mereka melakukannya .

Setelah selesai, hancurkan dari orbit.

Lakukan ini sesegera mungkin. Oh, dan cabut koneksi jaringan Anda - tolak akses penyerang Anda.

Solusi 3:

sudo netstat -lnp  

Mencantumkan port yang mendengarkan koneksi masuk dan proses terkait yang membuat port terbuka.

Solusi 4:

netstat -anp

"-p" memberitahukannya untuk mencantumkan ID proses yang membuka porta. -an memberitahunya untuk mendaftar port yang mendengarkan dan tidak menyelesaikan nama. Pada sistem sibuk yang dapat sangat mempercepat seberapa cepat kembalinya.

netstat -anp | grep "DAFTAR"

Itu hanya akan memberi Anda port terbuka.

Solusi 5:

Jika Anda tidak dapat melihat porta terbuka dengan alat sistem operasi dan Anda mencurigai adanya penyusupan, mungkin rootkit telah dipasang.

Rootkit dapat mengubah alat sistem untuk menghindari proses dan port tertentu atau mengubah modul kernel.

Anda dapat memeriksa rootkit dengan beberapa alat otomatis. 'apt-cache search rootkit' menampilkan yang berikut di Ubuntu:

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports

Jika Anda kebetulan memiliki rootkit, Anda dapat mengembalikan 'perubahan' ke sistem Anda, tetapi saya sarankan Anda mencari tahu bagaimana penyusupan dilakukan dan mengeraskan sistem agar tidak terulang kembali.

Mereka tidak eksklusif untuk Ubuntu, Anda juga dapat menggunakannya di CentOS. Cari saja paketnya atau unduh dari halaman mereka.

Dengan output dari port itu sepertinya Anda menjalankan pcanywhere memang:"�Ы� " sangat mirip dengan "Please press " yang merupakan pesan selamat datang pcanywhere. Saya tidak tahu mengapa prosesnya tidak muncul di daftar proses. Apakah Anda melakukan root?

Anda dapat mencoba mem-boot ulang untuk melihat apakah ini juga merupakan proses satu kali.


Linux
  1. Cara Memeriksa Port Terbuka pada Sistem Linux Jarak Jauh

  2. Bagaimana saya bisa menentukan proses apa yang membuka file di Linux?

  3. cara menggunakan netstat pada port tertentu di Linux

  1. Apa proses penonaktifan perangkat keras server Linux Anda?

  2. Bagaimana saya tahu jika server Linux saya telah diretas?

  3. Bagaimana saya bisa mengetahui file apa yang telah dibuka oleh suatu proses?

  1. Bagaimana Cara Membunuh Proses yang Berjalan pada Port Tertentu di Linux?

  2. Bagaimana cara mengetahui proses apa yang mengunci file di Linux?

  3. Bagaimana cara mematikan proses yang berjalan pada port tertentu di Linux?