कैसे बताएं कि लिनक्स पर एक विशिष्ट पोर्ट किस प्रक्रिया से खुला है?
जवाबों:
नेटस्टैट के साथ-साथ अन्य पदों में उल्लेखित, lsof कमांड यह ठीक करने में सक्षम होना चाहिए। बस इस का उपयोग करें:
lsof -i :<port number>
और सभी प्रक्रियाएँ सामने आनी चाहिए। मैं इसे ओएस एक्स पर काफी बार उपयोग करता हूं।
चेतावनी: आपकी प्रणाली से समझौता किया गया है।
आपके लिए आवश्यक उपकरण है lsof, जो फाइलों (और सॉकेट्स और पोर्ट्स) को सूचीबद्ध करेगा। यह सबसे अधिक संभावना है, और यह सबसे अधिक संभावना है हमलावर का संस्करण, जिसका अर्थ है कि यह आपके लिए झूठ होगा ।
यह वास्तव में एक rootkit है। मैंने इस व्यवहार को पहले देखा है, और यह हमेशा एक रूटकिट है। आपके सिस्टम से छेड़छाड़ की जाती है, और जो भी उपकरण आप उपयोग कर रहे हैं, उसी मशीन से उत्पन्न होने पर भरोसा नहीं किया जा सकता है। एक लाइव सीडी में बूट करें (जिसमें रीड-ओनली विश्वसनीय बायनेरिज़ है) और इसका उपयोग अपने डेटा, सेटिंग्स आदि को निकालने के लिए करें। आपके पास जो भी प्रोग्राम, कोई स्क्रिप्ट थी, उन्हें छोड़ दें । उन्हें मत लाओ । उनका इलाज करो, और सिस्टम, जैसे कि उन्हें कुष्ठ रोग है, क्योंकि वे करते हैं ।
एक बार जब आप कर रहे हैं, यह कक्षा से nuke ।
इसे जल्द से जल्द करें। ओह, और अपने नेटवर्क कनेक्शन को अनप्लग करें - अपने हमलावर की पहुंच से इनकार करें।
netstat -anp
"-पी" इसे पोर्ट खोलने वाली प्रक्रिया-आईडी को सूचीबद्ध करने के लिए कहता है। -An इसे सुनते हुए बंदरगाहों को सूचीबद्ध करने के लिए कहता है और नामों को हल नहीं करता है। व्यस्त प्रणालियों पर जो बहुत तेजी से वापस आ सकती है।
netstat -anp | grep "सूची"
वह आपको केवल खुले पोर्ट देगा।
यदि आप ऑपरेटिंग सिस्टम टूल के साथ पोर्ट को खोलकर नहीं देख सकते हैं और आपको संदेह है कि यह एक घुसपैठ है तो यह हो सकता है कि रूटकिट इंस्टॉल किया गया हो।
रूटकिट कुछ प्रक्रियाओं और बंदरगाहों या परिवर्तित कर्नेल मॉड्यूल से बचने के लिए सिस्टम टूल बदल सकता था।
आप कई स्वचालित उपकरणों के साथ रूटकिट के लिए जांच कर सकते हैं। 'एप्ट-कैश सर्च रूटकिट' उबंटू में निम्नलिखित दिखाता है:
chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports
यदि आपके पास एक रूटकिट होता है तो आप अपने सिस्टम में 'परिवर्तित' को वापस कर सकते हैं, लेकिन मेरा सुझाव है कि आपको पता चले कि इंट्रसियन कैसे बनाया गया था और इसे दोहराने के लिए नहीं।
वे उबंटू के लिए अनन्य नहीं हैं, आप उन्हें CentOS में भी उपयोग कर सकते हैं। बस पैकेज की तलाश करें या इसे अपने पेज से डाउनलोड करें।
उस पोर्ट से आउटपुट से ऐसा लगता है कि आप वास्तव में pcanywhere चला रहे हैं: "> <Enter>" बहुत ही समान है "कृपया दबाएं <Enter>" जो कि pcanywhere का स्वागत संदेश है। मुझे नहीं पता कि प्रक्रिया प्रक्रिया सूची में क्यों नहीं दिखाई देती है। क्या तुम जड़ हो?
आप यह देखने के लिए रिबूट करने की कोशिश कर सकते हैं कि क्या यह एक बार चलने वाली प्रक्रिया है, साथ ही।
@Bjtitus के जवाब पर विस्तार से जानने के लिए आप कुछ विस्तृत जानकारी प्राप्त कर सकते हैं, उदाहरण के लिए:
$ lsof -i :8000
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
squid3 1289 proxy 15u IPv6 14810490 0t0 TCP *:8000 (LISTEN)
$ ps -fp 1289
UID PID PPID C STIME TTY TIME CMD
proxy 1289 1 0 09:48 ? 00:00:00 /usr/sbin/squid3 -N -f /etc/squid-deb-proxy/squid-deb-proxy.conf
मैं वहीं देख सकता हूं कि स्क्वीड प्रक्रिया है, लेकिन यह वास्तविक squid-deb-proxyहै जो बंदरगाह को ले जा रहा है।
एक जावा ऐप का एक और अच्छा उदाहरण:
$ lsof -i :4242
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
java 3075 root 86u IPv4 12019 0t0 TCP *:4242 (LISTEN)
$ ps -fp 3075
UID PID PPID C STIME TTY TIME CMD
root 3075 1 15 May24 ? 3-16:07:25 /usr/local/crashplan/jre/bin/java -Dfile.encoding=UTF-8 -Dapp=CrashPlanService -DappBaseName=CrashPl
आप lsof(LiSt Open Files) में देख सकते हैं कि यह जावा है, जो सहायक से कम है। psPID के साथ कमांड चलाने से हम तुरंत देख सकते हैं कि यह CrashPlan है।