GoldenLine
Zaloguj się

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Dziś jak co dzień przeskanowałem sobie serwer nmap'em, aby sprawdzić czy jakiś nieodpowiedni port nie jest otwarty. Ku mojemu zdziwieniu kilka portów pojawiło się i nie wiem zbytnio dlaczego...



Host is up (0.046s latency).

Not shown: 9989 closed ports

PORT     STATE    SERVICE

21/tcp   open     ftp -- potrzebny

25/tcp   open     smtp -- pojawił się

53/tcp   open     domain -- potrzebny

80/tcp   open     http -- potrzebny

113/tcp  open     auth -- potrzebny

135/tcp  filtered msrpc --pojawił się

136/tcp  filtered profile --pojawił się

137/tcp  filtered netbios-ns --pojawił się

138/tcp  filtered netbios-dgm --pojawił się

139/tcp  filtered netbios-ssn --pojawił się

445/tcp  filtered microsoft-ds --pojawił się

7914/tcp open     unknown -- potrzebny



Nmap done: 1 IP address (1 host up) scanned in 41.08 seconds


W jaki sposób mogę sprawdzić które procesy otworzyły te porty?
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

netstat ?
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Marcin Bojko:
netstat ?

Już sprawdzałem - nie za wiele mi powiedziało...



vix@vix:~$ netstat -la

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State      

tcp        0      0 *:7914                  *:*                     LISTEN     

tcp        0      0 *:www                   *:*                     LISTEN     

tcp        0      0 *:auth                  *:*                     LISTEN     

tcp        0      0 *:ftp                   *:*                     LISTEN     

tcp        0     96 {domena}:7914           192.166.203.50:44609    ESTABLISHED

tcp6       0      0 [::]:7914               [::]:*                  LISTEN     

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags       Type       State         I-Node   Path

unix  4      [ ]         DGRAM                    2203744637 /dev/log

unix  3      [ ]         STREAM     CONNECTED     2649667316 

unix  3      [ ]         STREAM     CONNECTED     2649667315 

unix  2      [ ]         DGRAM                    2649667314 

unix  2      [ ]         DGRAM                    2203744665
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

netstat -nan
i pokaż iptables-saveMarcin Bojko edytował(a) ten post dnia 23.05.11 o godzinie 13:46
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Marcin Bojko:
netstat -nan
i pokaż iptables-save



vix@vix:/etc$ netstat -nan

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State      

tcp        0      0 0.0.0.0:7914            0.0.0.0:*               LISTEN     

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     

tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     

tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN     

tcp        0      0 188.116.53.214:7914     192.166.203.50:44609    ESTABLISHED

tcp6       0      0 :::7914                 :::*                    LISTEN     

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags       Type       State         I-Node   Path

unix  4      [ ]         DGRAM                    2203744637 /dev/log

unix  3      [ ]         STREAM     CONNECTED     2649667316 

unix  3      [ ]         STREAM     CONNECTED     2649667315 

unix  2      [ ]         DGRAM                    2649667314 

unix  2      [ ]         DGRAM                    2203744665 





////////////iptables-save



# Generated by iptables-save v1.4.2 on Mon May 23 13:57:27 2011

*mangle

:PREROUTING ACCEPT [1863155:1246164851]

:INPUT ACCEPT [1863154:1246164767]

:FORWARD ACCEPT [1:84]

:OUTPUT ACCEPT [1958888:1073541221]

:POSTROUTING ACCEPT [1958889:1073541305]

COMMIT

# Completed on Mon May 23 13:57:27 2011

# Generated by iptables-save v1.4.2 on Mon May 23 13:57:27 2011

*filter

:INPUT ACCEPT [1863154:1246164767]

:FORWARD ACCEPT [1:84]

:OUTPUT ACCEPT [1958888:1073541221]

COMMIT

# Completed on Mon May 23 13:57:27 2011
Janusz P. edytował(a) ten post dnia 23.05.11 o godzinie 13:58
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

netstat -np

Wywołany spod roota pokaże PID procesu i nazwę programu wykorzystującego port.Mateusz Wesołowski edytował(a) ten post dnia 23.05.11 o godzinie 14:14
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

obstawiam sambę
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Mateusz Wesołowski:
netstat -np

Wywołany spod roota pokaże PID procesu i nazwę programu wykorzystującego port.


vix@vix:~$ sudo netstat -np

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0     96 188.116.53.214:7914     192.166.203.50:42616    ESTABLISHED -               

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path

unix  4      [ ]         DGRAM                    2203744637 -                   /dev/log

unix  3      [ ]         STREAM     CONNECTED     2650259348 -                   

unix  3      [ ]         STREAM     CONNECTED     2650259347 -                   

unix  2      [ ]         DGRAM                    2650259346 -                   

unix  2      [ ]         DGRAM                    2203744665 -

Czyli nic nowego nie dowiedziałem się :/
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Marcin Bojko:
obstawiam sambę

Samby nie używam, aptitude też nic o tym nie mówi:



vix@vix:~$ sudo aptitude search samba

p   dpsyco-samba                                                           - Automate administration of access to samba                                       

p   egroupware-sambaadmin                                                  - web-based groupware suite - Samba administration application                     

p   gadmin-samba                                                           - GTK+ configuration tool for samba                                                

p   gsambad                                                                - GTK+ configuration tool for samba (transitional package)                         

p   python-samba                                                           - Python bindings that allow access to various aspects of Samba                    

v   python2.4-samba                                                        -                                                                                  

p   samba                                                                  - a LanManager-like file and printer server for Unix                               

v   samba-client                                                           -                                                                                  

p   samba-common                                                           - Samba common files used by both the server and the client                        

p   samba-dbg                                                              - Samba debugging symbols                                                          

p   samba-doc                                                              - Samba documentation                                                              

p   samba-doc-pdf                                                          - Samba documentation (PDF format)                                                 

p   samba-tools                                                            - tools provided by the Samba suite
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

netstat -nap spod roota
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: Debian Lenny i problem z otwartymi portami

Janusz P.:
Mateusz Wesołowski:
netstat -np

Wywołany spod roota pokaże PID procesu i nazwę programu wykorzystującego port.
Czyli nic nowego nie dowiedziałem się :/
Mateuszowi chodziło o "netstat -lnp" pewnie . Bez 'l'-a pokazuje połączenia, a nie nasłuchujące porty.Stanisław P. edytował(a) ten post dnia 23.05.11 o godzinie 14:28
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Mateusz Wesołowski:
netstat -nap spod roota


vix@vix:~$ sudo netstat -nap

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 0.0.0.0:7914            0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      -               

tcp        0    112 188.116.53.214:7914     192.166.203.50:42616    ESTABLISHED -               

tcp6       0      0 :::7914                 :::*                    LISTEN      -               

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path

unix  4      [ ]         DGRAM                    2203744637 -                   /dev/log

unix  3      [ ]         STREAM     CONNECTED     2650259348 -                   

unix  3      [ ]         STREAM     CONNECTED     2650259347 -                   

unix  2      [ ]         DGRAM                    2650259346 -                   

unix  2      [ ]         DGRAM                    2203744665 -
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Stanisław P.:
Janusz P.:
Mateusz Wesołowski:
netstat -np

Wywołany spod roota pokaże PID procesu i nazwę programu wykorzystującego port.
Czyli nic nowego nie dowiedziałem się :/
Mateuszowi chodziło o "netstat -lnp" pewnie . Bez 'l'-a pokazuje połączenia, a nie nasłuchujące porty.



vix@vix:~$ sudo netstat -lnp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 0.0.0.0:7914            0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      -               

tcp6       0      0 :::7914                 :::*                    LISTEN      -               

Active UNIX domain sockets (only servers)

Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Stanisław P.:
Janusz P.:
Mateusz Wesołowski:
netstat -np

Wywołany spod roota pokaże PID procesu i nazwę programu wykorzystującego port.
Czyli nic nowego nie dowiedziałem się :/
Mateuszowi chodziło o "netstat -lnp" pewnie . Bez 'l'-a pokazuje połączenia, a nie nasłuchujące porty.



vix@vix:~$ sudo netstat -lnp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 0.0.0.0:7914            0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN      -               

tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      -               

tcp6       0      0 :::7914                 :::*                    LISTEN      -               

Active UNIX domain sockets (only servers)

Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: Debian Lenny i problem z otwartymi portami

Coś tu nie gra. Masz ustawione jakies przekierowania portów?
Z jednej strony powinieneś zobaczyć port :22, bo masz tam wykryte ssh. Z drugiej strony porty takie jak 21 powinny mieć przypisany jakiś pid. Wygląda to co najmniej "dziwnie". Zacząłbym od sprawdzenia, czy nie popełniłeś jakiegoś trywialnego błędu typu skanowanie innego hosta niż vix, przekierowania portów, etc. etc.

Jeśli sytuacja rzeczywiście wygląda tak jak tutaj, to sprawdź spod roota:

lsof -i tcp:21
lsof -i tcp:22

Jeśli nic nie wykrywa, to lepiej sprawdź sobie system jakimś rootkit scannerem.
Link do wypowiedziLink
Tomek S.

Tomek S. IT Security
Consultant; CCNP
Security; JNCIA

Temat: Debian Lenny i problem z otwartymi portami

A mi się wydaje, że to odzywa się druga maszyna z Windowsami :)
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Stanisław P.:
Coś tu nie gra. Masz ustawione jakies przekierowania portów?
Z jednej strony powinieneś zobaczyć port :22, bo masz tam wykryte ssh. Z drugiej strony porty takie jak 21 powinny mieć przypisany jakiś pid. Wygląda to co najmniej "dziwnie". Zacząłbym od sprawdzenia, czy nie popełniłeś jakiegoś trywialnego błędu typu skanowanie innego hosta niż vix, przekierowania portów, etc. etc.

Jeśli sytuacja rzeczywiście wygląda tak jak tutaj, to sprawdź spod roota:

lsof -i tcp:21
lsof -i tcp:22

Jeśli nic nie wykrywa, to lepiej sprawdź sobie system jakimś rootkit scannerem.




vix@vix:~$ sudo lsof -i tcp:21

[sudo] password for vix: 

COMMAND   PID USER   FD   TYPE     DEVICE SIZE NODE NAME

vsftpd  17666 root    3u  IPv4 2533341317       TCP *:ftp (LISTEN)

port 21 jest ok, natomiast port 22 nie zwraca wyniku.
SSH jest na innym porcie niż 22.

BTW: dodam, że jest to server VPS jeśli to coś zmienia
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

Tomek S.:
A mi się wydaje, że to odzywa się druga maszyna z Windowsami :)
Druga tzn. która?
Serwer stoi na Debianie,a ja na notebooku korzystam z Ubuntu.
Link do wypowiedziLink

konto usunięte

Temat: Debian Lenny i problem z otwartymi portami

.Mateusz Wesołowski edytował(a) ten post dnia 23.05.11 o godzinie 15:20
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: Debian Lenny i problem z otwartymi portami

Szczerze mówiąc nie wiem czemu odpalajacy proces nie pokazuje się w wyniku netstat'a. Ale skoro lsof działa, to już masz pół odpowiedzi - przynajmniej możesz znaleźć które procesy co odpalają.

Aha - portami filtered się nie przejmuj. Nie są otwarte na Twojej maszynie, tylko nie dostałeś na skan żadnej odpowiedzi. (chyba że to Twój lokalny firewall) Prawdopodobnie provider wycina cały ruch do portów sieci windowsowej na wszelki wypadek.Stanisław P. edytował(a) ten post dnia 23.05.11 o godzinie 15:27
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Debian 5.0 Lenny is out.




Wyślij zaproszenie do
Anuluj