列出的几个端口使用nmap打开,但只有少数端口在服务器中侦听。

时间:2017-03-05 05:06:57

标签: security tcp ports nmap

我尝试使用nmap将端口扫描到同一局域网中的一台服务器上,并打开了许多端口:

Host is up (0.058s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql

所以,我登录服务器看看哪些服务正在收听,而且只有少数服务:

netstat -plnt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1205/mysqld
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      32225/sshd
tcp6       0      0 :::22                   :::*                    LISTEN      32225/sshd
tcp6       0      0 :::4118                 :::*                    LISTEN      1264/ds_agent

为什么那些端口列在nmap中以及如何关闭它们?

1 个答案:

答案 0 :(得分:0)

--reason选项添加到Nmap扫描中,以查看有关每个端口的信息。这可能有助于揭示响应何时来自与目标不同的来源。例如,如果您看到22/tcp open ssh syn-ack ttl 60110/tcp open pop3 syn-ack ttl 63则基于ttl差异,则回复可能来自不同的目标。你说你在局域网上,所以不太可能。

扫描时端口也可能已打开,但是在您登录检查时,正在侦听的进程已关闭。你能确认相同的端口仍然打开吗?你能检查一下邮件服务器服务启动和停止的日志吗?

另一种可能性是rootkit。这是恶意软件,可以通过netstat等主机诊断工具小心隐藏其行为。这种可能性不太可能基于您列出的端口,而是与邮件服务器一致。恶意软件不太可能听取这么多常用端口,但值得一提的是。