我尝试使用nmap将端口扫描到同一局域网中的一台服务器上,并打开了许多端口:
Host is up (0.058s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
所以,我登录服务器看看哪些服务正在收听,而且只有少数服务:
netstat -plnt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1205/mysqld
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 32225/sshd
tcp6 0 0 :::22 :::* LISTEN 32225/sshd
tcp6 0 0 :::4118 :::* LISTEN 1264/ds_agent
为什么那些端口列在nmap中以及如何关闭它们?
答案 0 :(得分:0)
将--reason
选项添加到Nmap扫描中,以查看有关每个端口的信息。这可能有助于揭示响应何时来自与目标不同的来源。例如,如果您看到22/tcp open ssh syn-ack ttl 60
但110/tcp open pop3 syn-ack ttl 63
则基于ttl
差异,则回复可能来自不同的目标。你说你在局域网上,所以不太可能。
扫描时端口也可能已打开,但是在您登录检查时,正在侦听的进程已关闭。你能确认相同的端口仍然打开吗?你能检查一下邮件服务器服务启动和停止的日志吗?
另一种可能性是rootkit。这是恶意软件,可以通过netstat
等主机诊断工具小心隐藏其行为。这种可能性不太可能基于您列出的端口,而是与邮件服务器一致。恶意软件不太可能听取这么多常用端口,但值得一提的是。