Я разместил это на сайте информации/безопасности, и кто-то сказал, что, возможно, будет лучше, если я опубликую этот вопрос здесь, поэтому я здесь.
На сервере установлена версия Ubuntu Kubuntu Desktop (я преобразовал ее в сервер, у меня были настроены некоторые вещи, которые было бы сложно переносить на другую установку).
Однажды я решил провести проверку безопасности и проверил свои правила UFW ( sudo ufw status) и обнаружил следующие правила, которые я не помню, чтобы добавлял:
49152 ALLOW Anywhere
49152 (v6) ALLOW Anywhere (v6)
Поиск в Google "port 49152" и т. д. не дает никакой полезной информации. Я знаю, что это частный/динамический/эфемерный порт, но я понятия не имею, для чего использовался порт и почему это правило брандмауэра было на моем сервере, и если возможно, есть ли какие-либо журналы, которые я мог бы проверить и которые бы сказали мне, для чего использовался порт и что добавило правило брандмауэра?
Процесс, использовавший порт, по-видимому, завершился после выполнения следующих команд:
sudo netstat -tupln
sudo netstat -a
sudo lsof -i
не подает никаких признаков прослушивания порта процессом.
Список установленных пакетов:https://paste.ubuntu.com/p/XQRdqC6zXZ/
- Могу ли я проверить, что ранее использовало порт?
- Может ли это быть чем-то опасным?
- Есть ли у вас что-то, прослушивающее порт 49152, что вы не настроили?
- Как узнать, что добавило правило брандмауэра?
- Какие типы журналов мне следует искать и где они могут находиться?
- Была ли я скомпрометирована?