信息安全 - Nmap 表明“telepathstart”和“telepathattack”正在侦听我的 Linux 机器的端口 5010 和 5011。这些是什么？ - 吾爱随笔录

Nmap 表明“telepathstart”和“telepathattack”正在侦听我的 Linux 机器的端口 5010 和 5011。这些是什么？

信息安全恶意软件

2021-08-18 08:15:58

我的网络上有一个 linux 机器，根据 Nmap 的说法，它包含两个服务telepathstart，分别telepathattack在端口 5010 和 5011 上进行调用和侦听。

在同一个框中，我在端口 113 上接收到我的计算机的入站请求，我的防火墙阻止了该请求。

此页面列出了在这些端口上侦听的这两个服务作为 Solo 和 OOTLT，这是准确的吗？我应该担心吗？

名字telepathattack是什么让我担心，有人听说过吗？它有什么作用？

谢谢

3个回答

该页面上的参考资料解释说，众所周知，Solo 使用 TCP 端口 5010，该端口为 TelepathStart 协议官方保留，TCP 5011 也是如此。如果您查看该列表，您会发现许多恶意软件使用的端口是保留用于其他服务。

TelepathStart 和 TelepathAttack 被 IANA 正确列为使用这些端口，所以我希望它们是良性的。让我们调查一下在这些端口上运行的是什么。IANA写道：

端口：5010 / 5011
服务名称：telelpathstart / telelpathattack
描述： TelepathStart / TelepathAttack
受让人： Helmuth Breitenfellner

我想当时联系人的电子邮件地址是hbreitenf@vnet.ibm.com。

通过 Google 搜索[ helmuth breitenfellner telepath ]，我们发现 Helmuth Breitenfellner 将 IBM FlowMark（工作流管理系统）的消息传递平台 (TelePath) 的代码移植到了 AIX RS6000。

Sandy Kemsley写道，FlowMark 后来更名为 MQSeries Workflow，现在更名为WebSphere MQ Workflow。

您的机器是否在运行 WebSphere MQ Workflow？

如果没有，那么这里有三个想法：

今天是运行一些恶意软件扫描的好日子。
您可能想稍微研究一下 nmap 的选项，看看它的服务检测对那些端口上正在侦听的内容有多大的信心。--version-intensity 9例如，也许使用。
您还可以尝试使用旧的系统管理员技巧来阻止它，然后看看有什么问题。

NMAP 在猜测正在运行的服务时可能不正确。我已经看到它弄错了好几次。

我会检查以下内容：

运行以下命令查看监听端口的进程。

netstat -tulpn

这是一个示例输出：

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:7337          0.0.0.0:*               LISTEN      863/postgres    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1670/sshd       
tcp6       0      0 ::1:7337                :::*                    LISTEN      863/postgres    
tcp6       0      0 :::22                   :::*                    LISTEN      1670/sshd       
udp        0      0 0.0.0.0:68              0.0.0.0:*                           551/dhclient3

在这里可以看到863端口是postgres，1670是sshd。

我还将运行这些命令以确保：

lsof -i #Also lists listening programs 
nmap -sV <host ip> #nmap version detection
grep 5010 /etc/services #linux's port to service name mapping

这是我 grepped 端口 22 时的示例输出

ssh     22/tcp              # SSH Remote Login Protocol
ssh     22/udp
imap3       220/tcp             # Interactive Mail Access
imap3       220/udp             # Protocol v3
xmpp-client 5222/tcp    jabber-client   # Jabber Client Connection
xmpp-client 5222/udp    jabber-client
bpjava-msvc 13722/tcp           # BP Java MSVC Protocol
bpjava-msvc 13722/udp
wnn6        22273/tcp           # wnn6
wnn6        22273/udp
xtell       4224/tcp            # xtell server

我们不可能不看你的电脑就知道它是什么程序。要自己执行此操作，请运行以下命令：

sudo netstat -ntpl | grep -e ":5010" -e ":5011"

您要查找的程序将在输出中列为最右边的字段。

^{安全提示：永远不要盲目地输入您在 Internet 上阅读的命令。与往常一样，请确保您首先了解它。}

其它你可能感兴趣的问题

上一篇理论上访问 PHI 是否违反 HIPAA，即使没有人访问它？下一篇有没有办法嗅探远程 IP 地址的数据包？