実験環境:
4.19.0-17-amd64 #1 SMP Debian 4.19.194-3 (2021-07-18) x86_64 GNU/Linux

自分の個人的な考えだがサーバー管理者というのは本来自分のサーバーで稼働しているサービスと、そのポート番号は必ず把握している事が重要だと考えてる。しかし、非常に失礼な言い方だが今現在Unixサーバを抱えてる企業のネットワーク及びサーバー管理者は、前述したような事を把握しているだろうか?俺はうーん「No」だと思う。せめて、自分のサーバーで動いているウェルノウンポート(httpのポート80番とかDNSのポート53番とか既にポートに対するサービス名が決められているポートのことを言う)ぐらいは把握しておいて頂きたいものだ!サーバー管理者本人のスキル不足が世の中の悪人!つまりクラックな方々のやり放題されたりして。なにもおのずと悪人を喜ばせることはないのである。

さて本題!不審なサービスポートがLISTEN(今既に待ち受け状態)状態の場合は、バッファオーバーフロー攻撃を食らって侵入されてしまっているか、もしくはバックドアを仕掛けられていてそのバックドア経由で侵入されリモート通信状態のTCPセッションが確立されている状態にあると判断しても過言では無いと思う(少なくも自分はそう思ってる)。
ここで実験を行うことによって、不審なサービスではないが元々必要ないサービスが動いていたことが解った。以下にその方法を掲載する。
サービスポートのLISTEN状態を確認するには、一般的にはnetstatコマンドを使って確認する。以下は、自分のサーバーをnetstatコマンドでViewした結果である。

sub2:~# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN     ←ここに怪しげなプロセス
tcp 0 0 127.0.0.1:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN
tcp 0 0 192.168.255.103:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 192.168.255.103:80 61.213.95.228:63455 TIME_WAIT
tcp 0 0 192.168.255.103:80 61.213.95.228:61747 TIME_WAIT
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 1736 ::ffff:192.168.255.1:22 ::ffff:210.196.76:61777 ESTABLISHED
udp 0 0 0.0.0.0:32779 0.0.0.0:*
udp 0 0 192.168.255.103:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 192.168.255.103:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp6 0 0 :::32780 :::*
udp6 0 0 fe80::2a0:c9ff:fe15:123 :::*
udp6 0 0 ::1:123 :::*
udp6 0 0 :::123 :::*

以下省略

ここではポート3306がLISTENしている。例えば、これが怪しいと感じたときはこの親プロセスのオーナーは誰かを調べる。それは以下のようにfuserコマンドを使って調べる。fuserコマンドはDebianには標準では入っていない。そのため、「apt -y install psmisc」を実行してパッケージをインストールすることをお勧めする。

sub2:~# fuser -vn tcp 3306
USER PID ACCESS COMMAND
3306/tcp: mysql 2025 F.... mysqld

結果として、mysqlデーモンが使っているポートだと言うことが解り、怪しいものではないと言うことが解った。
さらに、もう一つ。

sub2:~# fuser -vn tcp 113
USER PID ACCESS COMMAND
113/tcp: root 2034 F.... inetd

fuserコマンドしてみると、inetd?スーパーデーモンで何が動いてる?と言うことでinetd.confを調べてみる。ちなみにinetdスーパーデーモンはやはりDebianにはデフォルトでは入っていない。そのため、必要であれば「apt -y install inetutils-inetd」を実行してinetutils-inetdパッケージをインストールすることをお勧めする。

sub2:~# more /etc/inetd.conf
#<off># smtp stream tcp nowait root /usr/sbin/sendmail sendmail -Am-bs
#<off># submission stream tcp nowait root /usr/sbin/sendmail sendmail -Am -bs
#<off># smtps stream tcp nowait root /usr/sbin/sendmail sendmail -Am-bs

ident stream tcp wait identd /usr/sbin/identd identd

やっぱ、identが動いていたのね。と言うことで、こいつは不要なサービスなのでコメント。
sub2:~# vi /etc/inetd.conf
省略
# ident stream tcp wait identd /usr/sbin/identd identd

sub2:~# killall -HUP inetd

再びnetstatコマンドを打ってみる。

sub2:~# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 192.168.255.103:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 192.168.255.103:80 202.221.140.250:41233 TIME_WAIT
tcp 0 0 192.168.255.103:80 74.6.20.49:34333 TIME_WAIT
tcp 0 0 192.168.255.103:80 211.5.198.126:62492 FIN_WAIT2
tcp 0 12600 192.168.255.103:80 133.13.182.59:1109 ESTABLISHED
tcp 0 0 192.168.255.103:80 202.221.140.250:41202 TIME_WAIT
tcp 0 0 192.168.255.103:80 211.5.198.126:63009 TIME_WAIT
tcp 0 0 192.168.255.103:80 163.135.10.36:32948 TIME_WAIT
tcp 0 0 192.168.255.103:80 202.221.140.250:41831 TIME_WAIT
tcp 0 0 192.168.255.103:80 163.135.10.36:32933 TIME_WAIT
tcp 0 0 192.168.255.103:80 211.5.198.126:62128 TIME_WAIT
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 2660 ::ffff:192.168.255.1:22 ::ffff:210.196.76:61777 ESTABLISHED
udp 0 0 0.0.0.0:32779 0.0.0.0:*
udp 0 0 192.168.255.103:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 192.168.255.103:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp6 0 0 :::32780 :::*
udp6 0 0 fe80::2a0:c9ff:fe15:123 :::*
udp6 0 0 ::1:123 :::*
udp6 0 0 :::123 :::*

以下省略

よし、113番のidentサービスが消えました。
同様の事が、以下のようにlsofコマンドでも確認できる。

sub2:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
lighttpd 526 nobody 4u IPv4 330109 TCP *:www (LISTEN)
sshd 884 root 3r IPv6 334422 TCP sub2.kozupon.com:ssh->210.196.76.146:62385 (ESTABLISHED)
sshd 886 mity 3u IPv6 334422 TCP sub2.kozupon.com:ssh->210.196.76.146:62385 (ESTABLISHED)
sshd 1882 root 3u IPv6 5913 TCP *:ssh (LISTEN)
mysqld 2025 mysql 10u IPv4 6288 TCP *:mysql (LISTEN)
vsftpd 2043 root 3u IPv4 6220 TCP *:ftp (LISTEN)
ntpd 2142 ntp 16u IPv4 6336 UDP *:ntp
ntpd 2142 ntp 17u IPv6 6337 UDP *:ntp
ntpd 2142 ntp 18u IPv6 6339 UDP ip6-localhost:ntp
ntpd 2142 ntp 19u IPv6 6340 UDP [fe80::2a0:c9ff:fe15:c60a]:ntp
ntpd 2142 ntp 20u IPv4 6341 UDP localhost:ntp
ntpd 2142 ntp 21u IPv4 6342 UDP sub2.kozupon.com:ntp
sendmail- 2301 root 4u IPv4 6780 TCP localhost:smtp (LISTEN)
sendmail- 2301 root 5u IPv4 6781 TCP localhost:submission (LISTEN)
named 15800 bind 20u IPv4 93543 UDP localhost:domain
named 15800 bind 21u IPv4 93544 TCP localhost:domain (LISTEN)
named 15800 bind 22u IPv4 93545 UDP sub2.kozupon.com:domain
named 15800 bind 23u IPv4 93546 TCP sub2.kozupon.com:domain (LISTEN)
named 15800 bind 24u IPv4 93547 UDP *:32779
named 15800 bind 25u IPv6 93548 UDP *:32780
named 15800 bind 26u IPv4 93549 TCP localhost:953 (LISTEN)

netstatコマンドでも、もう少し詳しく表示させたければ以下のようにオプションパラメータを指定する。

sub2:~# netstat -lp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:mysql *:* LISTEN 2025/mysqld
tcp 0 0 localhost:submission *:* LISTEN 2301/sendmail: MTA:
tcp 0 0 *:www *:* LISTEN 526/lighttpd
tcp 0 0 sub2.kozupon.com:domain *:* LISTEN 15800/named
tcp 0 0 localhost:domain *:* LISTEN 15800/named
tcp 0 0 *:ftp *:* LISTEN 2043/vsftpd
tcp 0 0 localhost:953 *:* LISTEN 15800/named
tcp 0 0 localhost:smtp *:* LISTEN 2301/sendmail: MTA:
tcp6 0 0 *:ssh *:* LISTEN 1882/sshd getnameinfo failed
udp 0 0 *:32779 *:* 15800/named
udp 0 0 sub2.kozupon.com:domain *:* 15800/named
udp 0 0 localhost:domain *:* 15800/named
udp 0 0 sub2.kozupon.com:ntp *:* 2142/ntpd
udp 0 0 localhost:ntp *:* 2142/ntpd
udp 0 0 *:ntp *:* 2142/ntpd
udp6 0 0 *:32780 *:* 15800/named
udp6 0 0 fe80::2a0:c9ff:fe15:ntp *:* 2142/ntpd
udp6 0 0 ip6-localhost:ntp *:* 2142/ntpd
udp6 0 0 *:ntp *:* 2142/ntpd

以下省略

以上