Nmap indica che "telepathstart" e "telepathattack" sono in ascolto sulle porte 5010 e 5011 del mio box Linux. Cosa sono questi?

I riferimenti su quella pagina stanno spiegando che Solo è noto per usare la porta TCP 5010, che è ufficialmente riservata per il protocollo TelepathStart, e idem per TCP 5011. Se guardi attraverso quell'elenco vedrai che molti usi di malware porte che sono riservate per altri servizi.

TelepathStart e TelepathAttack sono elencati correttamente con IANA come utilizzando tali porte, quindi mi aspetterei che fossero benigni. Analizziamo cosa funziona su quelle porte. IANA :

• Porte: 5010/5011
• Nomi servizio: telelpathstart / telelpathattack
• Descrizioni: TelepathStart / TelepathAttack
• Cessionario: Helmuth Breitenfellner

Suppongo che l'indirizzo email del contatto fosse hbreitenf @ vnet .ibm.com al momento.

Una ricerca su Google per [helmuth breitenfellner telepath] ci porta a scoprire che Helmuth Breitenfellner è stato realizzato il codice della piattaforma di messaggistica (TelePath) di IBM FlowMark (un sistema di gestione del flusso di lavoro ) su AIX RS6000.

Sandy Kemsley scrive che FlowMark era successivamente rimarchiato come flusso di lavoro MQSeries e ora è WebSphere MQ Flusso di lavoro.

La tua casella è in esecuzione WebSphere MQ Workflow?

Se no, allora ecco tre pensieri:

• Oggi è un buon giorno per eseguire alcune scansioni di malware.
• Potresti voler attirare un po 'le opzioni di nmap e vedere quanta sicurezza ha il rilevamento dei servizi riguardo all'ascolto su quelle porte. Forse usa --version-intensity 9 , ad esempio.
• Puoi anche provare il vecchio trucco sysadmin di bloccarlo e vedere quali sono le interruzioni.

NMAP potrebbe non essere corretto nella supposizione di quale servizio è in esecuzione. L'ho visto scambiato più volte.

Vorrei controllare le seguenti cose:

Eseguire il seguente comando per verificare il processo delle porte di ascolto.

netstat -tulpn

Ecco un esempio di output:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:7337          0.0.0.0:*               LISTEN      863/postgres    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1670/sshd       
tcp6       0      0 ::1:7337                :::*                    LISTEN      863/postgres    
tcp6       0      0 :::22                   :::*                    LISTEN      1670/sshd       
udp        0      0 0.0.0.0:68              0.0.0.0:*                           551/dhclient3 

Qui puoi vedere che la porta 863 è postgres e 1670 è sshd.

Vorrei anche eseguire questi comandi solo per essere sicuro:

lsof -i #Also lists listening programs 
nmap -sV <host ip> #nmap version detection
grep 5010 /etc/services #linux's port to service name mapping 

Ecco un esempio di output quando ho grepped per la porta 22

ssh     22/tcp              # SSH Remote Login Protocol
ssh     22/udp
imap3       220/tcp             # Interactive Mail Access
imap3       220/udp             # Protocol v3
xmpp-client 5222/tcp    jabber-client   # Jabber Client Connection
xmpp-client 5222/udp    jabber-client
bpjava-msvc 13722/tcp           # BP Java MSVC Protocol
bpjava-msvc 13722/udp
wnn6        22273/tcp           # wnn6
wnn6        22273/udp
xtell       4224/tcp            # xtell server

È impossibile per noi dire quale programma è senza guardare il tuo computer. Per farlo da soli, esegui questo:

sudo netstat -ntpl | grep -e ":5010" -e ":5011" 

Il programma che stai cercando verrà elencato come campo di estrema destra nell'output.

^{Nota sulla sicurezza: non digitare mai ciecamente un comando che hai letto su Internet. Come sempre assicurati di averlo capito prima}