Processo desconhecido na porta, lsof no help, nfs-kernel-server?

Question

Processo desconhecido na porta, lsof no help, nfs-kernel-server?

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

Durante uma varredura de segurança padrão, descobrimos que algo estava escutando em uma porta desconhecida para nós, em 2030, e estamos tendo problemas para determinar a origem.

# netstat -anp | grep LIST
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -
....
tcp        0      0 0.0.0.0:2030            0.0.0.0:*               LISTEN      -

Ambos sem um 'processo'. Conectar-se a ele não produziu nenhuma informação (desconecta após a entrada, muito provavelmente porque um protocolo esperado não é seguido), lsof -i :2030 também nada. Apenas para ter certeza de que copiei um novo binário lsof , mas não tenho certeza de quais bibliotecas extras, possivelmente comprometidas, ele chama. O 2049 eu sei, que é do nfs-kernel-server, que se comporta da mesma maneira (nenhuma informação de processo do netstat ou lsof). Eis que, depois de reiniciar o nfs-kernel-server na caixa debian, o processo de escutar 2030 desapareceu ....

Então, minhas perguntas:

Eu deveria estar preocupado com uma caixa comprometida, ou isso é realmente um problema nfs-kernel-server?
Se esse é um problema do nfs-kernel-server, o que está acontecendo exatamente, por que o lsof não pode mostrar essas informações?

.

Linux 2.6.39-2-686-pae
nfs-kernel-server 1:1.2.3-3
lsof 4.81.dfsg.1-1

security nfs lsof port

por Wrikken 01.02.2012 / 13:09

2 respostas

Tags security nfs lsof port

Serviço em execução como sistema local no servidor Uma conexão com o servidor SQL no servidor B. Como? Entendendo o campo sUserTime de um arquivo de log do IIS

score 1 · Answer 1

Você tem, por exemplo, diretórios home NFS automontados? Se sim, essas portas de escuta desaparecerão alguns segundos / minutos depois que cada usuário tiver efetuado logout.

score 1 · Answer 2

A porta 2049 está definitivamente associada ao serviço nfs no kernel. No meu sistema, tenho o nfsd em execução.

:;  sudo netstat -anp | grep LIST
tcp        0      0 0.0.0.0:2049                0.0.0.0:*                   LISTEN      -

Então, vamos ver se estou executando o kmod para isso:

:;    lsmod | grep nfs
nfsd                  287337  17 
exportfs               38849  1 nfsd
auth_rpcgss            81889  1 nfsd
nfs                   298541  1 
lockd                 101297  3 nfsd,nfs
fscache                52385  1 nfs
nfs_acl                36673  2 nfsd,nfs
sunrpc                200073  19 nfsd,auth_rpcgss,nfs,lockd,nfs_acl

Sim! E agora vamos verificar se os tópicos do kernel estão ativos:

:;  ps -aefd | grep nfs
root      3648   171  0  2011 ?        11:46:48 [nfsiod]
root      3882   171  0  2011 ?        00:00:00 [nfsd4]
root      3883     1  0  2011 ?        00:00:00 [nfsd]
root      3884     1  0  2011 ?        00:00:00 [nfsd]
root      3885     1  0  2011 ?        00:00:00 [nfsd]
root      3886     1  0  2011 ?        00:00:00 [nfsd]
root      3887     1  0  2011 ?        00:00:00 [nfsd]
root      3888     1  0  2011 ?        00:00:00 [nfsd]
root      3889     1  0  2011 ?        00:00:00 [nfsd]
root      3890     1  0  2011 ?        00:00:00 [nfsd]

Sim!

Então, no mínimo, você pode confirmar que 2049 é realmente NFS.

Eu não sei o que é 2030.