; 58.60.14.191:8000 ESTABLISHED
OK,确定111端口是由rpcbind服务打开的,禁了就行~
---------------------------------------------------------------------------------------------
3306是mysql的端口,跳过~
33936端口无法在/etc/services中查不到任何信息,那么这个端口就有可能是随机产生的了~
那就看下这个端口是由什么进程使用的,还有就是进程的其它信息,然后顺藤摸瓜,找到“犯人”,达到我们的目的
#netstat -antp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:33936 0.0.0.0:* LISTEN 1829/rpc.statd
......
得到的信息太少了,得换一个工具才行~
# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rpc.statd 1829 rpcuser 6u IPv4 7003 0t0 UDP *:733
rpc.statd 1829 rpcuser 8u IPv4 7010 0t0 UDP *:58417
rpc.statd 1829 rpcuser 9u IPv4 7013 0t0 TCP *:33936 (LISTEN)
......
通过"lsof -i"命令,又了解到了这个进程是由rpcuser用户启动的~
那好,我们现在得去看下"rpcuser"这个用户的信息了~
#vim /etc/passwd
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
这就可以肯定它与nfs有关系,那我也不会用到,那就把nfs相关的服务都关了吧~(不知道哪些是?google!! )
通过多次的试验,这个是nfslock使用的端口,并且是动态的,也验证了前面的猜想~
本文来源:不详 作者:佚名