我正在我们的 AWS 账户上测试 GuardDuty 并且有一些问题...
我们管理的每个 EC2 实例都有一个“Recon:EC2/PortProbeUnprotectedPort”结果。每个用于不同的端口:
- EC2 实例 1:1433
- EC2 实例 2:433
- EC2 实例 3:9000
- EC2 实例 4:554
- EC2 实例 5:110
所有实例都在 Debian 上,nmap 扫描实例 5:
Not shown: 993 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
445/tcp filtered microsoft-ds
8086/tcp open d-s-n
8088/tcp open radan-http
实例上的 Netstat 输出:
# netstat -tpln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 31962/proftpd: (acc
tcp 0 0 127.0.0.1:4949 0.0.0.0:* LISTEN 589/perl
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1106/sshd
tcp 0 0 127.0.0.1:3000 0.0.0.0:* LISTEN 5389/grafana-server
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 687/master
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp 0 0 127.0.0.1:9002 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp 0 0 127.0.0.1:9003 0.0.0.0:* LISTEN 2777/php-fpm.conf)
tcp6 0 0 :::8086 :::* LISTEN 2736/influxd
tcp6 0 0 :::22 :::* LISTEN 1106/sshd
tcp6 0 0 :::8088 :::* LISTEN 2736/influxd
tcp6 0 0 :::443 :::* LISTEN 2883/apache2
tcp6 0 0 127.0.0.1:7080 :::* LISTEN 12370/java
tcp6 0 0 :::80 :::* LISTEN 2883/apache2
没有迹象表明端口 110 已打开。
对这个问题有任何合理的解释吗?
该端口在机器上未打开,但在保护机器的安全组上打开。GuardDuty 发现了一个问题,即在安全组中打开了一个端口,但实际上并未在侦听。
(这只是一个猜测,我自己从未经历过该消息,希望这有帮助,如果我是正确的请更新!)。