Por que a porta 1111 está aberta e é seguro estar?

Navegue suas respostas
9

Sou novo na administração de sistemas e tenho um servidor executando um site com HTTP (na porta 80), HTTPS (na porta 443) e SSH (na porta 22).

Estou executando o Ubuntu 11.04.

Eu fiz uma varredura de porta do Nmap usando meu laptop pessoal e além dessas 3 portas, a porta 1111 também estava aberta. Esta foi a saída: 

1111/tcp open tcpwrapped

Eu então fiz: 

sudo netstat -lntp | grep -F 1111

... e obteve a seguinte saída: 

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

O Monit parece ser uma ferramenta de monitoramento no Ubuntu.

  • Eu deveria estar preocupado com isso?

  • Como determino o objetivo da porta 1111?

  • Como eu fecho se preciso?

por nknj 19.07.2012 / 16:29

6 respostas

5

De acordo com esta referência:

Because protocol TCP port 1111 was flagged as a virus (colored red) does not mean that a virus is using port 1111, but that a Trojan or Virus has used this port in the past to communicate.

Então, pode ser um vírus / trojan.

Recomendamos que você use o Net Activity Viewer para determinar qual processo / serviço mantém esta porta em estado de escuta:

Depoisdisso,oGoogleusaonomedoprocessoparaverseháalgumvírusrelacionadoaesseprocessoeaessaporta.

Porfim,sevocêacreditaqueéumvírus,sigaas instruções aqui descritas

    
por 19.07.2012 / 16:38
2

A descrição da porta da IANA (Internet Assigned Numbers Authority) é:

1111 tcp,udp lmsocialserver LM Social Server

Mas também é conhecido por ser usado por 

1111    tcp trojan  Daodan, Ultors Trojan   Trojans
1111    udp trojan  Daodan  Trojans
1111    tcp threat  W32.Suclove Bekkoame
1111    tcp,udp threat  AIMVision   Bekkoame

Trojans that use this port:
    Backdoor.AIMvision - remote access trojan, 10.2002. Affects all current Windows versions.
    Backdoor.Ultor - remote access trojan, 06.2002. Affects Windows, listens on port 1111 or 1234.
    Backdoor.Daodan - VB6 remote access trojan, 07.2000. Affects Windows.
    W32.Suclove.A@mm (09.26.2005) - a mass-mailing worm with backdoor capabilities that spreads through MS Outlook and MIRC. Opens a backdoor and listens for remote commands on port 1111/tcp.

Fontes:

link

link

    
por 19.07.2012 / 16:38
2

Você pode usar lsof -i :1111 para encontrar o processo conectado à porta 1111.

    
por 19.07.2012 / 18:18
1

Esta página speedguide.net indica que a porta TCP 1111 é usada por um aplicativo chamado LikeMinds Socialserver, mas também diz que é conhecido por ser usado por vários aplicativos de malware. Talvez uma verificação completa de malware do seu disco esteja em ordem.

    
por 19.07.2012 / 16:38
1

Verifique o / etc / services

Geralmente, você pode encontrar portas de serviço padrão listadas em / etc / services . No entanto, no meu sistema: 

fgrep 1111 /etc/services

não retorna informações, por isso provavelmente não é um serviço padrão.

Verifique o netstat

Você pode ver quais programas estão usando uma determinada porta com netstat . 

sudo netstat -lntp | fgrep 1111

Você pode usar essas informações para determinar se é um serviço de sistema necessário para o seu ambiente.

Parando Processos Desnecessários

Parar os processos do sistema é um pouco específico da plataforma, mas muitos sistemas Linux suportam um comando sudo service ssh stop ou similar, ou você pode chamar o script de inicialização diretamente com sudo /etc/init.d/<service> stop . Se não for um serviço do sistema, você pode apenas chamar sudo kill <pid> para enviar o SIGTERM ao processo.

Note que parar um serviço não impede que ele seja executado novamente, então você também pode precisar ajustar seus scripts de inicialização do runlevel da maneira que for apropriada para sua plataforma específica.

    
por 19.07.2012 / 16:44
1

De aptitude show monit : 

Description: utility for monitoring and managing daemons or similar programs
monit is a utility for monitoring and managing daemons or similar programs running on a 
Unix system. It will start specified
programs if they are not running and restart programs not responding.

Se você não planeja usá-lo, você deve desinstalá-lo ou pelo menos pará-lo e impedir o início automático com 

/etc/init.d/monit stop
update-rc.d -f monit remove

Ou você pode aprender a usá-lo e configurá-lo de acordo com suas necessidades.

    
por 19.07.2012 / 17:34

Tags

Inserindo caracteres Unicode no Google Chrome? Qual é a implicação do patch MS17-010 e da desativação SMBv1 relacionados ao WannaCry? Remove o malware ou simplesmente impede que ele se propague?