Merkwürdiger Abhörport

657
Victor Henriquez

Beim Auditing eines meiner Systeme fand ich einen Prozess, ohne dass der lokale Port (Port 52698) angehört wurde.

# netstat -lntp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 972/sshd  tcp 0 0 127.0.0.1:52698 0.0.0.0:* LISTEN 13940/0  tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN 1043/nrpe  tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1128/mysqld  tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 616/rpcbind  tcp6 0 0 :::22 :::* LISTEN 972/sshd  tcp6 0 0 ::1:52698 :::* LISTEN 13940/0  tcp6 0 0 :::443 :::* LISTEN 2354/apache2  tcp6 0 0 :::111 :::* LISTEN 616/rpcbind  tcp6 0 0 :::80 :::* LISTEN 2354/apache2

Beim Versuch, Informationen über den Prozess in / proc zu erhalten, habe ich Folgendes erhalten: 

/proc/13940# ls -l exe lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd  /proc/13940# cat cmdline  sshd: ubuntu@pts/0

Sieht aus, als hätte der sshd-Prozess dies aus irgendeinem Grund geöffnet. Ist das normal? Warum öffnet sshd diesen Abhörport?

0

2 Antworten auf die Frage

2
Kamil Maciorowski

Es kann eine Remote-Port-Weiterleitung sein . Jemand hat -RFlag verwendet, während er sich in Ihr System einfügt. Sehen man ssh:

-R [bind_address:]port:host:hostport
Gibt an, dass der angegebene Port auf dem Remote-Host (Server) an den angegebenen Host und Port auf der lokalen Seite weitergeleitet werden soll. Dies funktioniert, indem ein Socket für die Überwachung des Ports auf der Remote-Seite zugewiesen wird. Wenn eine Verbindung zu diesem Port hergestellt wird, wird die Verbindung über den sicheren Kanal weitergeleitet, und es wird eine Verbindung zum Host- Port- Port von der lokalen Maschine hergestellt.

Hinweis: Es funktioniert mit TCP-Ports, nicht mit UDP.

Ich denke, dass der Benutzer, der den Tunnel erstellt hat, auch der Besitzer von ist /proc/13940. Das ist ein Hinweis, wenn Sie es weiter untersuchen müssen.

0
flix

In diesem speziellen Fall denke ich die X11-Weiterleitung. Sie müssen es entweder mit -X- oder -Y-Flags oder den entsprechenden Optionen in .ss / config aktiviert haben. Versuchen Sie einfach, es zu deaktivieren und sich erneut anzumelden, und ich bin mir ziemlich sicher, dass es weg sein wird.

Verwandte Probleme