Неизвестный процесс на порте, не помогает, nfs-kernel-server?

Question

Неизвестный процесс на порте, не помогает, nfs-kernel-server?

Во время стандартной проверки безопасности мы обнаружили, что что-то прослушивало неизвестный нам порт 2030 года, и у нас возникли проблемы с определением источника.

# netstat -anp | grep LIST
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -
....
tcp        0      0 0.0.0.0:2030            0.0.0.0:*               LISTEN      -

Оба без "процесса". Подключение к нему не дало никакой информации (разъединяется после ввода, скорее всего потому, что ожидаемый протокол не соблюдается), lsof -i :2030 тоже ничего. Просто чтобы убедиться, что я скопировал новый lsof бинарный, но я не уверен, что дополнительные, возможно скомпрометированные, он вызывает. 2049 Я знаю, что это от nfs-kernel-server, который ведет себя так же (нет информации о процессах из netstat или lsof). И вот, после перезапуска nfs-kernel-server на коробке debian процесс прослушивания 2030 исчез.

Итак, мои вопросы:

Должен ли я беспокоиться о скомпрометированной коробке или это действительно проблема nfs-kernel-server?
Если это проблема nfs-kernel-server, что именно происходит, почему нельзя lsof показать эту информацию?

,

Linux 2.6.39-2-686-pae
nfs-kernel-server 1:1.2.3-3
lsof 4.81.dfsg.1-1

1

security nfs port lsof

Источник

Wrikken 01 фев '12 в 12:09

2 ответа

Другие вопросы по тегам security nfs port lsof

weeheavy 01 фев '12 в 12:25 2012-02-01 12:25 · Answer 1 · 2012-02-01 12:25

Есть ли у вас, например, автоматические домашние каталоги NFS? Если да, эти порты прослушивания исчезнут через несколько секунд / минут после выхода каждого пользователя из системы.

1

Источник

weeheavy 01 фев '12 в 12:25

Travis Campbell 01 фев '12 в 16:35 2012-02-01 16:35 · Answer 2 · 2012-02-01 16:35

Порт 2049 определенно связан со службой nfs в ядре. В моей системе запущен nfsd.

:;  sudo netstat -anp | grep LIST
tcp        0      0 0.0.0.0:2049                0.0.0.0:*                   LISTEN      -

Итак, давайте посмотрим, запускаю ли я kmod для этого:

:;    lsmod | grep nfs
nfsd                  287337  17 
exportfs               38849  1 nfsd
auth_rpcgss            81889  1 nfsd
nfs                   298541  1 
lockd                 101297  3 nfsd,nfs
fscache                52385  1 nfs
nfs_acl                36673  2 nfsd,nfs
sunrpc                200073  19 nfsd,auth_rpcgss,nfs,lockd,nfs_acl

Ага! А теперь мы проверим, работают ли потоки ядра:

:;  ps -aefd | grep nfs
root      3648   171  0  2011 ?        11:46:48 [nfsiod]
root      3882   171  0  2011 ?        00:00:00 [nfsd4]
root      3883     1  0  2011 ?        00:00:00 [nfsd]
root      3884     1  0  2011 ?        00:00:00 [nfsd]
root      3885     1  0  2011 ?        00:00:00 [nfsd]
root      3886     1  0  2011 ?        00:00:00 [nfsd]
root      3887     1  0  2011 ?        00:00:00 [nfsd]
root      3888     1  0  2011 ?        00:00:00 [nfsd]
root      3889     1  0  2011 ?        00:00:00 [nfsd]
root      3890     1  0  2011 ?        00:00:00 [nfsd]

Ага!

Таким образом, по крайней мере, вы можете подтвердить, что 2049 действительно NFS.

Я не знаю, что такое 2030 год.