PortScan meines Servers - und ein paar Fragen dazu

[curly]

erstmal der scan per nmap von außen:
Port State Service
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open sunrpc
1002/tcp open unknown
1720/tcp open H.323/Q.931
3306/tcp open mysql

sunrpc werd cih wohl nciht brauchen für einen normalen Webserver? Und was fang ich mit den ports 1002 bzw 1720 an,
- welche Programme lauschen da und
- brauch ich die für nen Webserver?

Für Antworten bedankt sich
Curly ;)

[static]

Hi,

Code: Select all

netstat -plnet

sollte dir weiterhelfen.

.static

[curly]

Dabei tauchen aber nicht der 1002 und 1720 auf :/

[sascha]

lsof -i :1002
lsof -i :1720

Wenn das auch nix bringt, mal versuchen per telnet zu connecten.

[curly]

Bringt bei den beiden Ports keine Ergebnisse. Telnet ist nicht auf, nur ssh.

[static]

Hi,

Telnet ist nicht auf, nur ssh.

Du sollst mit Telnet nix auf dem Server machen, sondern von aussen, per Telnet, auf diese Ports connecten!

.static

[curly]

oh :oops:

Vom 1002 werd ich gleich wieder rausgeschmissen, der 1720 läßt mich zwar connecten aber er läd keine Shell und reagiert nicht auf Commandos.

[sascha]

Oha. Dann läuft da ja vielleicht doch etwas. Ich hatte ja eigentlich eher einen Fehler bei deinem Scan vermutet. Um ganz sicher zu gehen, würdest du mir vielleicht mal die Server IP mitteilen. Ich würde dann auch mal nmap drauf loslassen.

[curly]

u got PM.
Wobei rootforum.org/heise.de/etc die besagten beiden Ports auch auf haben und dasselbe Verhalten zeigen beim connect. Vielleicht muß ich mir ja gar keine Sorgen machen ;)

[sascha]

Jupp.

Ein Scan von meinem VD-Server aus sieht so aus:

Code: Select all

PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
80/tcp    open     http
111/tcp   open     rpcbind
3306/tcp  open     mysql
6667/tcp  filtered irc
10000/tcp open     snet-sensor-mgmt

Um Fragen vorzubeugen: filtered heißt nur dass dein ISP (Hetzner) diesen Port filtert. Hat mit deinem Server nix zu tun.

Scheint also irgendwas lokales bei dir zu sein. Würde an deiner Stelle aber trotzdem mal gucken was das sein könnte...

Ã?ndern solltest du:
Port 111: Portmapper beenden
Port 3306: MySQL nur an localhost binden oder gleich "skip-networking" in der /etc/mysql/my.cnf eintragen.
Port 10000: Webmin ggf. stoppen falls er nicht gebraucht wird.

[curly]

Jo da ist relativ viel gefiltert (der Teil war bekannt) ;)
Webmin, portmap aus dem runlevel rausgenommen. Um den DB-Server werd ich mich morgen abend noch kümmern. Danke erstmal :)

[captaincrunch]

Wobei rootforum.org/heise.de/etc die besagten beiden Ports auch auf haben und dasselbe Verhalten zeigen beim connect.

Ich kann dir versichern, dass diese beiden Ports auf diesem Server nicht offen sind. ;)

[floschi]

Ist ein beliebtes Problem in Verbindung mit lokalen Virenscannern oder Firewalls, die machen lokal solche Ports auf und irgendwie kommen Portscanner damit nicht zurecht, sodass die sowas als offen auf remote anzeigen.

[dodolin]

Wenn man Dienste "nur" per tcpwrapper dicht macht, dann zeigen billige Scanner wie nmap diese Ports als offen an. Grund: Die TCP-Verbindung wird erst vollständig angenommen und danach wieder vom Server beendet. Der Scanner sieht nun lediglich, dass der 3-Wege-Handshake zustande kommt und nimmt daher an, der Port sei offen. Dass der Port direkt danach wieder von tcpwrapper geschlossen wird, bekommt er nicht mehr mit.

Mit einem (gescheiten) Telnetclient sieht man den Unterschied:
Einmal kommt "Connection refused" = kein Dämon lauscht
einmal kommt "Connection closed" = Verbindung angenommen und wieder dicht gemacht

[captaincrunch]

Einspruch, euer Ehren: ;)

Wenn man Dienste "nur" per tcpwrapper dicht macht, dann zeigen billige Scanner wie nmap diese Ports als offen an.

1. nmap ist nun wirklich kein "billiger" Scanner.
2. nmap bietet nicht nur diese "simple" Form des Connect Portscanning.

[dodolin]

1. nmap ist nun wirklich kein "billiger" Scanner.

Ich wusste es, dass dieser Einwand von dir jetzt kommen würde... ;)

2. nmap bietet nicht nur diese "simple" Form des Connect Portscanning.

Mit welchen Optionen würde man denn per tcpwrapper geschützte Dienste als geschlossen erkennen können?

[captaincrunch]

Mit welchen Optionen würde man denn per tcpwrapper geschützte Dienste als geschlossen erkennen können?

Depends on... ;)

Nee, ernsthaft: gerade wenn's um solche "filtered"-Sachen geht, helfen in den allermeisten Fällen entweder (Stealth) FIN-, oder XMas-Scan extrem weiter.
Im Falle eines FIN-Scans müsste ein Port ohne Dienst dahinter ein lapidares "RST" zurückgeben, kommt allerdings nichts, kann man sich ziemlich sicher sein, dass dort doch etwas lauscht.
Wie gesagt, käme jetzt halt auf die Konfiguration der "Gegenseite" an. Oder habe ich dich jetzt komplett missverstanden?

[dodolin]

gerade wenn's um solche "filtered"-Sachen geht

Geht's nicht.

Ich zitiere nochmal mein vorheriges Posting:

Wenn man Dienste "nur" per tcpwrapper dicht macht, dann zeigen billige Scanner wie nmap diese Ports als offen an. Grund: Die TCP-Verbindung wird erst vollständig angenommen und danach wieder vom Server beendet. Der Scanner sieht nun lediglich, dass der 3-Wege-Handshake zustande kommt und nimmt daher an, der Port sei offen. Dass der Port direkt danach wieder von tcpwrapper geschlossen wird, bekommt er nicht mehr mit.

Mit einem (gescheiten) Telnetclient sieht man den Unterschied:
Einmal kommt "Connection refused" = kein Dämon lauscht
einmal kommt "Connection closed" = Verbindung angenommen und wieder dicht gemacht

Darum geht's mir. Ich habe momentan aber leider keine Zeit, jetzt verschiedene Szenarien nachzustellen und das auszutesten.

[captaincrunch]

Ah OK, jetzt hab sogar ich es kapiert. ;)

Ich hab's zwar bis jetzt auch noch nicht nachgestellt, würde Wietse aber genug Verstand zutrauen, den tcpd nicht erst den kompletten 3-way handshake durchlaufen zu lassen.
Selbst wenn eine "echte" Verbindung abgeweisen würde, wäre durch den Connect trotzdem klar, dass auf Port X irgend etwas laufen muss.

Btw.: Spätestens nmaps Version-Scan (-sV) bringt auch in diesem Fall dann mehr Klarheit. ;)

[dodolin]

Wenn ich nach meinen Klausuren mehr Zeit habe, probier ich's mal aus... :) Danke mal soweit! Glaube, die -sV war mir auch neu...

[captaincrunch]

Sofern ich heute mal 5 Minuten Zeit habe, stelle ich's einfach mal nach, oder wühle mich mal ein wenig durch die Sourcen. Das würde mich jetzt nämlich auch interessieren, daher direkt schon mal ein Dankeschön für den Denkanstoß. ;)

Glaube, die -sV war mir auch neu...

Gibt's auch "erst" seit 3.50. ;)

[t0x1c]

Einspruch, euer Ehren: ;)

1. nmap ist nun wirklich kein "billiger" Scanner.

Ne, billig iser echt nich, dafür kostenlos! ;)