Seltsamer Abhöranschluss

tag-icon tag-icon linux ssh netstat proc
Seltsamer Abhöranschluss

Bei der Prüfung eines meiner Systeme habe ich einen Prozess ohne Namen gefunden, der auf dem lokalen Host, Port 52698, lauschte.

# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      972/sshd        
tcp        0      0 127.0.0.1:52698         0.0.0.0:*               LISTEN      13940/0         
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      1043/nrpe       
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1128/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      616/rpcbind     
tcp6       0      0 :::22                   :::*                    LISTEN      972/sshd        
tcp6       0      0 ::1:52698               :::*                    LISTEN      13940/0         
tcp6       0      0 :::443                  :::*                    LISTEN      2354/apache2    
tcp6       0      0 :::111                  :::*                    LISTEN      616/rpcbind     
tcp6       0      0 :::80                   :::*                    LISTEN      2354/apache2

Beim Versuch, Informationen über den Prozess in /proc abzurufen, erhielt ich Folgendes:

/proc/13940# ls -l exe
lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd

/proc/13940# cat cmdline 
sshd: ubuntu@pts/0

Sieht so aus, als ob der SSHD-Prozess dies aus irgendeinem Grund geöffnet hat. Ist das normal? Warum öffnet SSHD diesen Abhörport?

Antwort1

Es kann seinRemote-Port-Weiterleitung. Jemand hat -RFlag verwendet, während er sich per SSH in Ihr System eingeloggt hat. Sieheman ssh:

-R [bind_address:]port:host:hostport
Gibt an, dass der angegebene Port auf dem Remote-Host (Server) an den angegebenen Host und Port auf der lokalen Seite weitergeleitet werden soll. Dies funktioniert durch die Zuweisung eines Sockets zum AbhörenHafenauf der Remote-Seite, und wann immer eine Verbindung zu diesem Port hergestellt wird, wird die Verbindung über den sicheren Kanal weitergeleitet und eine Verbindung hergestellt zuGastgeberHafenHostportvom lokalen Rechner.

Hinweis: Es funktioniert mit TCP-Ports, nicht mit UDP.

Ich glaube, der Benutzer, der den Tunnel erstellt hat, ist auch der Eigentümer von /proc/13940. Das ist ein Hinweis, falls Sie der Sache weiter nachgehen müssen.

Antwort2

In diesem speziellen Fall denke ich, dass es die X11-Weiterleitung ist. Sie müssen sie entweder mit den Flags -X oder -Y oder den entsprechenden Optionen in .ss/config aktiviert haben. Versuchen Sie einfach, sie zu deaktivieren und sich erneut anzumelden, und ich bin mir ziemlich sicher, dass sie verschwunden sein wird.

verwandte Informationen