Ich habe dies unter „Informationen/Sicherheit“ gepostet und jemand meinte, es wäre vielleicht besser, wenn ich diese Frage hier poste, also bin ich hier.
Auf dem Server läuft die Kubuntu-Desktop-Variante von Ubuntu (ich habe ihn in einen Server umgewandelt, ich hatte Dinge konfiguriert, die sich nur mühsam auf eine andere Installation übertragen ließen.).
Eines Tages beschloss ich, einen Sicherheitscheck durchzuführen und überprüfte meine UFW-Regeln ( sudo ufw status). Dabei stieß ich auf die folgenden Regeln, an deren Hinzufügen ich mich nicht erinnern konnte:
49152 ALLOW Anywhere
49152 (v6) ALLOW Anywhere (v6)
Wenn ich nach „Port 49152“ usw. googele, bekomme ich keine nützlichen Informationen. Ich weiß, dass es sich um einen privaten/dynamischen/flüchtigen Port handelt, aber ich habe keine Ahnung, wofür der Port verwendet wurde und warum diese Firewall-Regel auf meinem Server war. Gibt es, wenn möglich, Protokolle, die ich überprüfen könnte und die mir sagen würden, wofür der Port verwendet wurde und was die Firewall-Regel hinzugefügt hat?
Der Prozess, der den Port verwendet hat, scheint beendet worden zu sein, da die folgenden Befehle ausgeführt wurden:
sudo netstat -tupln
sudo netstat -a
sudo lsof -i
zeigen keine Anzeichen dafür, dass ein Prozess den Port überwacht.
Liste der installierten Pakete:https://paste.ubuntu.com/p/XQRdqC6zXZ/
- Könnte ich überprüfen, was den Port zuvor verwendet hat?
- Könnte das etwas Gefährliches sein?
- Lauschen Sie auf Port 49152 etwas, das Sie nicht konfiguriert haben?
- Wie kann ich herausfinden, was die Firewall-Regel hinzugefügt hat?
- Nach welchen Protokolltypen sollte ich suchen und wo befinden sie sich?
- Wurde ich kompromittiert?