Porta de escuta estranha

Question

Porta de escuta estranha

#1 resposta do (2 votos)
#2 resposta do (0 votos)

0

Auditando um dos meus sistemas, encontrei um processo sem nome escutando no localhost, porta 52698.

# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      972/sshd        
tcp        0      0 127.0.0.1:52698         0.0.0.0:*               LISTEN      13940/0         
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      1043/nrpe       
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1128/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      616/rpcbind     
tcp6       0      0 :::22                   :::*                    LISTEN      972/sshd        
tcp6       0      0 ::1:52698               :::*                    LISTEN      13940/0         
tcp6       0      0 :::443                  :::*                    LISTEN      2354/apache2    
tcp6       0      0 :::111                  :::*                    LISTEN      616/rpcbind     
tcp6       0      0 :::80                   :::*                    LISTEN      2354/apache2

Tentando obter informações sobre o processo em / proc, recebi isso:

/proc/13940# ls -l exe
lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd

/proc/13940# cat cmdline 
sshd: ubuntu@pts/0

Parece que o processo sshd abriu isso por algum motivo. Isso é normal? Por que o sshd está abrindo essa porta de escuta?

ssh netstat proc linux

por Victor Henriquez 16.05.2016 / 13:05

2 respostas

0

Neste caso específico, acho que é o encaminhamento do X11. Você deve ativá-lo usando os sinalizadores -X ou -Y ou as opções correspondentes em .ss / config. Apenas tente desabilitá-lo e faça o login novamente, e tenho certeza de que ele desaparecerá.

por 09.07.2017 / 10:37

Tags ssh netstat proc linux

O ZFS grava muito no meu disco Como configurar o Windows 7 para descobrir um dispositivo conectado à sua porta ethernet?

score 2 · Accepted Answer

Pode ser encaminhamento remoto de portas . Alguém usou -R bandeira enquanto ssh-ing no seu sistema. Veja man ssh :

-R [bind_address:]port:host:hostport
Specifies that the given port on the remote (server) host is to be forwarded to the given host and port on the local side. This works by allocating a socket to listen to port on the remote side, and whenever a connection is made to this port, the connection is forwarded over the secure channel, and a connection is made to host port hostport from the local machine.

Nota: funciona com portas TCP, não com UDP.

Acho que o usuário que criou o túnel também é o proprietário de /proc/13940 . Isso é uma pista se você precisar investigar mais.