정보/보안에 글을 올렸는데 누군가 이 질문을 여기에 올리는 것이 더 좋을 것 같다고 해서 여기에 올립니다.
서버는 Ubuntu의 Kubuntu Desktop 변형을 실행하고 있습니다. (저는 서버로 변환했고, 다른 설치로 전송하기 어려울 수 있도록 구성했습니다.)
어느 날 보안 점검을 하기로 결정하고 UFW 규칙( sudo ufw status)을 확인했는데 추가한 기억이 없는 다음 규칙을 발견했습니다.
49152 ALLOW Anywhere
49152 (v6) ALLOW Anywhere (v6)
"포트 49152" 등을 검색해도 유용한 정보가 나오지 않습니다. 개인/동적/임시 포트라는 것은 알고 있지만 해당 포트가 어떤 용도로 사용되었는지, 이 방화벽 규칙이 내 서버에 있었던 이유는 무엇인지, 가능하다면 확인할 수 있는 로그가 있는지 알 수 있습니다. 포트는 어떤 용도로 사용되었으며 방화벽 규칙은 무엇에 추가되었나요?
다음 명령을 실행하면서 포트를 사용하던 프로세스가 종료된 것 같습니다.
sudo netstat -tupln
sudo netstat -a
sudo lsof -i
포트에서 수신 대기 중인 프로세스의 흔적이 표시되지 않습니다.
설치된 패키지 목록:https://paste.ubuntu.com/p/XQRdqC6zXZ/
- 이전에 포트를 사용하고 있던 것이 무엇인지 확인할 수 있습니까?
- 이거 위험한 일이 아닐까?
- 구성하지 않은 포트 49152에서 수신 대기하는 것이 있습니까?
- 방화벽 규칙에 무엇이 추가되었는지 어떻게 알 수 있나요?
- 어떤 유형의 로그를 찾아야 하며 어디에 위치합니까?
- 내가 타협을 당한 걸까요?