Auditando um dos meus sistemas, encontrei um processo sem nome escutando no localhost, porta 52698.
# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 972/sshd
tcp 0 0 127.0.0.1:52698 0.0.0.0:* LISTEN 13940/0
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN 1043/nrpe
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1128/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 616/rpcbind
tcp6 0 0 :::22 :::* LISTEN 972/sshd
tcp6 0 0 ::1:52698 :::* LISTEN 13940/0
tcp6 0 0 :::443 :::* LISTEN 2354/apache2
tcp6 0 0 :::111 :::* LISTEN 616/rpcbind
tcp6 0 0 :::80 :::* LISTEN 2354/apache2
Tentando obter informações sobre o processo em /proc, consegui o seguinte:
/proc/13940# ls -l exe
lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd
/proc/13940# cat cmdline
sshd: ubuntu@pts/0
Parece que o processo sshd abriu isso por algum motivo. Isso é normal? Por que o sshd está abrindo esta porta de escuta?
Responder1
Pode serencaminhamento de porta remota. Alguém usou -Rflag enquanto fazia ssh em seu sistema. Verman ssh:
-R [bind_address:]port:host:hostport
Especifica que a porta fornecida no host remoto (servidor) deve ser encaminhada para o host e porta fornecidos no lado local. Isso funciona alocando um soquete para ouvirportano lado remoto, e sempre que uma conexão é feita a esta porta, a conexão é encaminhada pelo canal seguro e uma conexão é feita parahospedarportaporto de acolhimentoda máquina local.
Nota: funciona com portas TCP, não com UDP.
Acho que o usuário que criou o túnel também é o proprietário do arquivo /proc/13940. Essa é uma pista se você precisar investigar mais a fundo.
Responder2
Neste caso específico, acho que é o encaminhamento do X11. Você deve tê-lo ativado usando os sinalizadores -X ou -Y ou as opções correspondentes em .ss/config. Apenas tente desativá-lo e fazer login novamente, e tenho certeza de que ele desaparecerá.