나는 백도어로 보이는 이러한 포트를 닫는 작업을 하고 있습니다. 아니면 적어도 절대로 열어서 사용하지 않습니다. NC를 끄거나 종료하고 이러한 포트를 닫는 방법은 무엇입니까?
netstat -lntup | grep nc
ps-ef
답변1
채팅을 통해 추가 조사 후, 문제는 OP 시스템의 특정 crontab을 통해 식별되었습니다. 이는 프로세스의 상위 PID를 사용하여 식별되며 nc다음 연결을 보여줍니다.
nc -l -p 45454 -e /usr/sbin/link--> /bin/sh -c nc -l -p 45454 -e /usr/sbin/link-->/usr/sbin/CRON -f
프로세스와 연결된 사용자 계정의 nc이름은 "link"이며 이와 연결된 crontab이 있습니다. crontab에는 nc1분마다 실행되도록 예약된 동일한 명령을 사용하는 cron 작업이 포함되어 있습니다. 무기한 수신하도록 명령 nc이 지정되었으므로 nc1분마다 새로운 프로세스가 생성됩니다.
문제는 crontab 파일의 특정 항목을 주석 처리하여 해결되었습니다.