天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

加固系统,从端口做起

2009-2-12不详佚名

;        58.60.14.191:8000           ESTABLISHED
    tcp        0      0 :::80                       :::*                        LISTEN

    OK,确定111端口是由rpcbind服务打开的,禁了就行~
    ---------------------------------------------------------------------------------------------
    3306是mysql的端口,跳过~

    33936端口无法在/etc/services中查不到任何信息,那么这个端口就有可能是随机产生的了~
    那就看下这个端口是由什么进程使用的,还有就是进程的其它信息,然后顺藤摸瓜,找到“犯人”,达到我们的目的

    #netstat -antp
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
    tcp        0      0 0.0.0.0:33936               0.0.0.0:*                   LISTEN      1829/rpc.statd
    ......

    得到的信息太少了,得换一个工具才行~

    # lsof -i
    COMMAND    PID    USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
    rpc.statd 1829 rpcuser    6u  IPv4   7003      0t0  UDP *:733
    rpc.statd 1829 rpcuser    8u  IPv4   7010      0t0  UDP *:58417
    rpc.statd 1829 rpcuser    9u  IPv4   7013      0t0  TCP *:33936 (LISTEN)
    ......

    通过"lsof -i"命令,又了解到了这个进程是由rpcuser用户启动的~

    那好,我们现在得去看下"rpcuser"这个用户的信息了~
    #vim /etc/passwd
    rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

    这就可以肯定它与nfs有关系,那我也不会用到,那就把nfs相关的服务都关了吧~(不知道哪些是?google!! )
    通过多次的试验,这个是nfslock使用的端口,并且是动态的,也验证了前面的猜想~

    小结:
  9 7 3 1 2 3 4 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行