PortScan meines Servers - und ein paar Fragen dazu

Rund um die Sicherheit des Systems und die Applikationen
curly
Posts: 13
Joined: 2004-07-25 23:41

PortScan meines Servers - und ein paar Fragen dazu

Post by curly » 2004-07-25 23:45

erstmal der scan per nmap von außen:
Port State Service
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open sunrpc
1002/tcp open unknown
1720/tcp open H.323/Q.931
3306/tcp open mysql

sunrpc werd cih wohl nciht brauchen für einen normalen Webserver? Und was fang ich mit den ports 1002 bzw 1720 an,
- welche Programme lauschen da und
- brauch ich die für nen Webserver?

Für Antworten bedankt sich
Curly ;)

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by static » 2004-07-25 23:52

Hi,

Code: Select all

netstat -plnet
sollte dir weiterhelfen.

.static

curly
Posts: 13
Joined: 2004-07-25 23:41

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by curly » 2004-07-25 23:54

Dabei tauchen aber nicht der 1002 und 1720 auf :/

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by sascha » 2004-07-26 00:00

lsof -i :1002
lsof -i :1720

Wenn das auch nix bringt, mal versuchen per telnet zu connecten.

curly
Posts: 13
Joined: 2004-07-25 23:41

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by curly » 2004-07-26 00:02

Bringt bei den beiden Ports keine Ergebnisse. Telnet ist nicht auf, nur ssh.

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by static » 2004-07-26 00:08

Hi,
Curly wrote:Telnet ist nicht auf, nur ssh.
Du sollst mit Telnet nix auf dem Server machen, sondern von aussen, per Telnet, auf diese Ports connecten!

.static

curly
Posts: 13
Joined: 2004-07-25 23:41

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by curly » 2004-07-26 00:16

oh :oops:

Vom 1002 werd ich gleich wieder rausgeschmissen, der 1720 läßt mich zwar connecten aber er läd keine Shell und reagiert nicht auf Commandos.

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by sascha » 2004-07-26 00:18

Oha. Dann läuft da ja vielleicht doch etwas. Ich hatte ja eigentlich eher einen Fehler bei deinem Scan vermutet. Um ganz sicher zu gehen, würdest du mir vielleicht mal die Server IP mitteilen. Ich würde dann auch mal nmap drauf loslassen.

curly
Posts: 13
Joined: 2004-07-25 23:41

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by curly » 2004-07-26 00:26

u got PM.
Wobei rootforum.org/heise.de/etc die besagten beiden Ports auch auf haben und dasselbe Verhalten zeigen beim connect. Vielleicht muß ich mir ja gar keine Sorgen machen ;)

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by sascha » 2004-07-26 00:31

Jupp.

Ein Scan von meinem VD-Server aus sieht so aus:

Code: Select all

PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
80/tcp    open     http
111/tcp   open     rpcbind
3306/tcp  open     mysql
6667/tcp  filtered irc
10000/tcp open     snet-sensor-mgmt
Um Fragen vorzubeugen: filtered heißt nur dass dein ISP (Hetzner) diesen Port filtert. Hat mit deinem Server nix zu tun.

Scheint also irgendwas lokales bei dir zu sein. Würde an deiner Stelle aber trotzdem mal gucken was das sein könnte...

Ã?ndern solltest du:
Port 111: Portmapper beenden
Port 3306: MySQL nur an localhost binden oder gleich "skip-networking" in der /etc/mysql/my.cnf eintragen.
Port 10000: Webmin ggf. stoppen falls er nicht gebraucht wird.

curly
Posts: 13
Joined: 2004-07-25 23:41

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by curly » 2004-07-26 00:44

Jo da ist relativ viel gefiltert (der Teil war bekannt) ;)
Webmin, portmap aus dem runlevel rausgenommen. Um den DB-Server werd ich mich morgen abend noch kümmern. Danke erstmal :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by captaincrunch » 2004-07-26 08:26

Wobei rootforum.org/heise.de/etc die besagten beiden Ports auch auf haben und dasselbe Verhalten zeigen beim connect.
Ich kann dir versichern, dass diese beiden Ports auf diesem Server nicht offen sind. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by floschi » 2004-07-26 10:05

Ist ein beliebtes Problem in Verbindung mit lokalen Virenscannern oder Firewalls, die machen lokal solche Ports auf und irgendwie kommen Portscanner damit nicht zurecht, sodass die sowas als offen auf remote anzeigen.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by dodolin » 2004-07-26 11:26

Wenn man Dienste "nur" per tcpwrapper dicht macht, dann zeigen billige Scanner wie nmap diese Ports als offen an. Grund: Die TCP-Verbindung wird erst vollständig angenommen und danach wieder vom Server beendet. Der Scanner sieht nun lediglich, dass der 3-Wege-Handshake zustande kommt und nimmt daher an, der Port sei offen. Dass der Port direkt danach wieder von tcpwrapper geschlossen wird, bekommt er nicht mehr mit.

Mit einem (gescheiten) Telnetclient sieht man den Unterschied:
Einmal kommt "Connection refused" = kein Dämon lauscht
einmal kommt "Connection closed" = Verbindung angenommen und wieder dicht gemacht

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by captaincrunch » 2004-07-26 11:50

Einspruch, euer Ehren: ;)
Wenn man Dienste "nur" per tcpwrapper dicht macht, dann zeigen billige Scanner wie nmap diese Ports als offen an.
1. nmap ist nun wirklich kein "billiger" Scanner.
2. nmap bietet nicht nur diese "simple" Form des Connect Portscanning.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by dodolin » 2004-07-26 12:10

1. nmap ist nun wirklich kein "billiger" Scanner.
Ich wusste es, dass dieser Einwand von dir jetzt kommen würde... ;)
2. nmap bietet nicht nur diese "simple" Form des Connect Portscanning.
Mit welchen Optionen würde man denn per tcpwrapper geschützte Dienste als geschlossen erkennen können?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by captaincrunch » 2004-07-26 12:19

Mit welchen Optionen würde man denn per tcpwrapper geschützte Dienste als geschlossen erkennen können?
Depends on... ;)

Nee, ernsthaft: gerade wenn's um solche "filtered"-Sachen geht, helfen in den allermeisten Fällen entweder (Stealth) FIN-, oder XMas-Scan extrem weiter.
Im Falle eines FIN-Scans müsste ein Port ohne Dienst dahinter ein lapidares "RST" zurückgeben, kommt allerdings nichts, kann man sich ziemlich sicher sein, dass dort doch etwas lauscht.
Wie gesagt, käme jetzt halt auf die Konfiguration der "Gegenseite" an. Oder habe ich dich jetzt komplett missverstanden?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by dodolin » 2004-07-26 17:08

gerade wenn's um solche "filtered"-Sachen geht
Geht's nicht.

Ich zitiere nochmal mein vorheriges Posting:
Wenn man Dienste "nur" per tcpwrapper dicht macht, dann zeigen billige Scanner wie nmap diese Ports als offen an. Grund: Die TCP-Verbindung wird erst vollständig angenommen und danach wieder vom Server beendet. Der Scanner sieht nun lediglich, dass der 3-Wege-Handshake zustande kommt und nimmt daher an, der Port sei offen. Dass der Port direkt danach wieder von tcpwrapper geschlossen wird, bekommt er nicht mehr mit.

Mit einem (gescheiten) Telnetclient sieht man den Unterschied:
Einmal kommt "Connection refused" = kein Dämon lauscht
einmal kommt "Connection closed" = Verbindung angenommen und wieder dicht gemacht
Darum geht's mir. Ich habe momentan aber leider keine Zeit, jetzt verschiedene Szenarien nachzustellen und das auszutesten.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by captaincrunch » 2004-07-26 20:17

Ah OK, jetzt hab sogar ich es kapiert. ;)

Ich hab's zwar bis jetzt auch noch nicht nachgestellt, würde Wietse aber genug Verstand zutrauen, den tcpd nicht erst den kompletten 3-way handshake durchlaufen zu lassen.
Selbst wenn eine "echte" Verbindung abgeweisen würde, wäre durch den Connect trotzdem klar, dass auf Port X irgend etwas laufen muss.

Btw.: Spätestens nmaps Version-Scan (-sV) bringt auch in diesem Fall dann mehr Klarheit. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by dodolin » 2004-07-26 23:04

Wenn ich nach meinen Klausuren mehr Zeit habe, probier ich's mal aus... :) Danke mal soweit! Glaube, die -sV war mir auch neu...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by captaincrunch » 2004-07-27 08:32

Sofern ich heute mal 5 Minuten Zeit habe, stelle ich's einfach mal nach, oder wühle mich mal ein wenig durch die Sourcen. Das würde mich jetzt nämlich auch interessieren, daher direkt schon mal ein Dankeschön für den Denkanstoß. ;)
Glaube, die -sV war mir auch neu...
Gibt's auch "erst" seit 3.50. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: PortScan meines Servers - und ein paar Fragen dazu

Post by t0x1c » 2004-09-03 22:23

CaptainCrunch wrote:Einspruch, euer Ehren: ;)

1. nmap ist nun wirklich kein "billiger" Scanner.
Ne, billig iser echt nich, dafür kostenlos! ;)