현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

freeciv 라는것이 5555포트를 장악하고 있습니다.

taiji88의 이미지
글쓴이: taiji88 / 작성시간: 수, 2013/09/25 - 4:27오후

centos 5.4 이고요

nmap으로 보면
5555/tcp open freeciv

라고 나옵니다.
검색해보니 free civilization이라는 게임인거 같던데
5555포트를 사용하더군요.

중요한건 저희가 현재 5555포트를 특정 용도로 사용중임에도 불구하고
5555가 freeciv에 귀속되어있다는 것입니다.

netstat에도 잡히지 않네요. ㅡ.ㅡ
어떻게 해야 관련 포트의 장악을 막을수 있을런지 궁금합니다.

Forums: 
설치 및 활용 QnA
klenui의 이미지

글쓴이: klenui / 작성시간: 수, 2013/09/25 - 4:43오후

관리자 권한으로

netstat -ltp | grep 5555

해서 해당 pid를 죽이면 되지 않을까요..?

세이군의 이미지

글쓴이: 세이군 / 작성시간: 수, 2013/09/25 - 4:54오후

1. nmap 결과에 나온 freeciv는 이 포트를 사용하는 주요 프로그램이 freeciv다라고 이해해주세요.
현재 결과는 TCP 5555 포트에 반응이 있었고(5555/TCP) 열려 있었으며(open) 일반적으로 freeciv가 사용한다라는 의미로 보시면 됩니다.

2. 실제로 TCP 5555 포트를 사용중인 프로그램을 확인하려면 root 권한으로 로그인을 해서 klenui님이 적어주신 명령을 터미널에 입력해보시면 됩니다.
결과로 나온 프로그램이 본문에 말씀하신 "특정 용도로 사용중"에 해당한다면 아무 문제가 없는 것입니다.

실제로 실행을 해보면

[root@localhost ~]# netstat -tnp | grep ":5555"
tcp        0     52 127.0.0.1:5555            127.0.0.1:2096          ESTABLISHED 5996/sshd

위와 같은 화면을 보게 될 것이고 이때 맨 뒤에 있는 "5996/sshd" 부분이 해당하는 프로그램의 PID와 실행파일명입니다.

실행파일명 부분을 보시고 현재 사용중인 프로그램이 맞는지 확인하시면 됩니다.

taiji88의 이미지

글쓴이: taiji88 / 작성시간: 수, 2013/09/25 - 5:24오후

netstat -ltp | grep 5555
해도 결과는 나오지 않습니다.

netstat에도 나오지 않는데
nmap에서는 걸리는게 참 희한하네요.

웃긴건.. 5555포트를 죽이면 없어지고
살리면 바로 붙는다는것입니다.

어찌하면 좋을까나요.. ㅜ.ㅜ

세이군의 이미지

글쓴이: 세이군 / 작성시간: 목, 2013/09/26 - 9:37오전

특정용도로 사용중이라고 하셨으니까 해당 프로그램을 종료시킨 상태에서 nmap를 다시 돌려보세요.
1. 그래도 nmap 결과에서 freeciv가 보인다??? netstat -lntp 를 이용해서 다시한번 찾아봐주세요.
2. 나오지 않는다???? 아무 문제 없는 것입니다. nmap에서 freeciv라고 나오긴 했지만 실제로는 사용중인 프로그램이 5555 포트를 사용중인 것입니다.

TCP 5555 를 사용중인 프로그램은 다음과 같습니다.
- Freeciv versions up to 2.0
- Hewlett-Packard Data Protector
- McAfee EndPoint Encryption Database Server
- SAP
- Default for Microsoft Dynamics CRM 4.0 (Official)

nmap가 가지고 있는 포트별 서비스 목록에 "5555 포트는 freeciv가 사용중"이라고 등록되어 있기 때문에 나오는 현상입니다.

taiji88의 이미지

글쓴이: taiji88 / 작성시간: 목, 2013/09/26 - 1:40오후

완전 황당한거죠.

netstat에서는 데몬이 떠있으면 당연히 잡히겠는데
이건 서버를 아무리 뒤저봐도 freeciv라는 흔적조차 보이지 않고
서버상에 떠있는것도 아니고, 로그도 안남고, 포트 끊으면 사라졌다가 살리면 nmap 에서는 바로 붙은걸로 나오고.. ㅡ.ㅡ

아.. give up 해야할까요.. ㅜ.ㅜ

ymir의 이미지

글쓴이: ymir / 작성시간: 목, 2013/09/26 - 2:10오후

nmap 이 탐지한 결과에서 SERVICE 항목은 실제 그 서비스가 떠 있다는 뜻이 아니라.. 그냥 well-known port 정보를 보여주는 것 뿐입니다.
5555/tcp 가 열려 있기는 한데, 뭔지는 몰라도 일단 그 놈은 freeciv 란 녀석이 주로 쓴다... 는 뜻입니다.

그럼 이 정보는 어디서 가져 오느냐 하면.. /usr/share/nmap/nmap-services 와 같은 services 파일에서 읽어옵니다.
탐지한 포트 번호를 갖고, 거기에 등록된 서비스 이름을 뿌려주는거죠. 궁금하시면 그 서비스 이름을 바꾸고 다시 스캔해 보세요.
그리고 정말로 그 서비스가 맞는지 어떤지는 -A 옵션을 주고 돌려 보시구요.

어쨌든 이름은 별로 중요한게 아니니.. 그거에 너무 집착하지 마시고, 포트 번호만 신경쓰시면 됩니다.

되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』

taiji88의 이미지

글쓴이: taiji88 / 작성시간: 목, 2013/09/26 - 5:12오후

저의 착오였네요.. ㅜ.ㅜ

taiji88의 이미지

글쓴이: taiji88 / 작성시간: 수, 2013/09/25 - 7:55오후

nmap localhost
의 결과와

nmap 아이피
의 결과가 다릅니다. 헐...

nmap localhost는 5555포트가 안나오고
nmap 아이피는 5555가 활동중이라고 나오네요.

이거 어떻게 해석해야 할까요..
물론 lsof -i에서도 5555는 보이지 않습니다.

# nmap localhost
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
857/tcp open unknown
1523/tcp open cichild-lm
3306/tcp open mysql

# nmap 아이피
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
3000/tcp closed ppp
3306/tcp open mysql
5555/tcp open freeciv

chanik의 이미지

글쓴이: chanik / 작성시간: 목, 2013/09/26 - 2:19오후

사용중이신 '특정 용도'의 프로그램이 아이피:5555 에만 바인딩하고 있기 때문입니다.

'특정 용도'의 프로그램을 종료시킨 다음,
그 프로그램 대신 netcat으로 5555번 포트를 점유하게 하되 그 바인딩 양상을 아래와 같이 바꿔가며
아이피 및 localhost에 대한 nmap 결과를 점검해보시면 이해가 될 것입니다.
조합에 따라 5555번 포트정보가 나오기도 하고 안 나오기도 하겠죠.

  1. $ nc -l -k 아이피 5555
  2. $ nc -l -k localhost 5555
  3. $ nc -l -k 0.0.0.0 5555

지금 쓰시는 서버에는 아무 이상이 없는 것 같습니다.
nmap이 보여주고 있는 5555번 포트 관련 메시지는
단지 5555번 포트가 '무언가'에 의해 열려있다는 의미일 뿐이고요.

그 '무언가'는 위에서 예로 사용한 nc가 될 수도 있고,
지금 사용중이신 '특정 용도' 프로그램이 될 수도 있죠.
nmap은 그 프로그램이 무엇인지까지 추적해준 것이 아니고
해당 포트의 전형적인 용도에 대한 참고정보만을 주었을 뿐입니다.

요컨데, 프로세스 스캐닝까지 해주는 것이 아니고 소켓을 통한 포트 스캐닝만 해주는 것이죠.

taiji88의 이미지

글쓴이: taiji88 / 작성시간: 목, 2013/09/26 - 5:11오후

제가 잘못 이해했던것이네요.
결론은 해킹이고, /etc/rc.d/rc.local에 iptable삽입후 useradd로 루트에 계정만들어서 활보했었네요.

아흐.. 정말로 감사드립니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.