[Gelöst] Offene Ports, kein dazugehöriger Dienst

[hanzdampf]

[edit]Problem gelöst![/edit]

Guten Abend,

ich habe meinen Server seit längerem mal wieder mit nmap abgescannt, ich weiss auch gar nicht warum... war wohl genau richtig, denn ich entdeckte offene Ports, die da nichts zu suchen haben. Hab dann auf einem anderen Host nochmal gescannt mit anderer nmap Version und folgende Ports, bzw dahinter lauschende Dienste haben sind definitiv fehl am Platze:

Code: Select all

Starting nmap 3.70 
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
80/tcp   open  http
111/tcp  open  rpcbind
143/tcp  open  imap
199/tcp  open  smux
2000/tcp open  callbook

Code: Select all

Starting nmap V. 3.00 
Port       State       Service
21/tcp     open        ftp                     
22/tcp     open        ssh                     
25/tcp     open        smtp                    
80/tcp     open        http                    
111/tcp    open        sunrpc                  
143/tcp    open        imap2                   
199/tcp    open        smux                    
2000/tcp   open        callbook       

sunrpc bzw. rpcbind kenn ich von meiner WS, das sollte portmap sein, nunja, portmap ist nicht installiert, habs ich natürlich sofort gecheckt.
naja, erstmal einen Blick in /etc/services geworfen, was denn smux und callbook sein könnte... keine wirklich verwertbaren Informationen gefunden. libsnmp-base und libsnmp4.2 sind abhängig zu cyrus installiert, snmpd hab ich niemals auf der kiste gehabt. callbook könnte mit cyrus ebenfalls mit cyrus/sieve zu tun haben, bis zum heutigen Tag sind die beiden Ports jedoch nie geöffnet gewesen, und der Service läuft seit Monaten unverändert...

Hat da jmd. eine Idee?

[hanzdampf]

Ah, callbook hat sich halbwegs aufgeklärt, hängt definitiv mit cyrus zusammen, da der Port bei beendetem Dienst geschlossen wird.
Was aber smux und in meinem Fall rpcbind verursacht ist mir schleierhaft! Naja, ich hoffe mir kann jmd. helfen.

Code: Select all

[root@vl09s20]: lsof -i | grep -e UDP -e LISTEN
sshd     7933 root    3u  IPv4 7913682       TCP xxx.de:ssh (LISTEN)
xinetd  26865 root    5u  IPv4 7927626       TCP xxx.de:ftp (LISTEN)

Code: Select all

[root@vl09s20]: netstat -ntldp
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 83.151.17.xx:21         0.0.0.0:*               LISTEN      26865/xinetd        
tcp        0      0 83.151.17.xx:22         0.0.0.0:*               LISTEN      7933/sshd           

Code: Select all

Starting nmap 3.70
21/tcp  open  ftp     ProFTPD 1.2.5rc1
22/tcp  open  ssh     OpenSSH 3.4p1 (protocol 2.0)
111/tcp open  rpcbind 2 (rpc #100000)
199/tcp open  smux    Linux SNMP multiplexer

Code: Select all

[root@vl09s20]: ps aux
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.1  0.0  1492  448 ?        S    Sep21   5:53 init [2]  
root      7412  0.0  0.0  2036  780 ?        S    02:24   0:00 /sbin/syslogd
root      7911  0.0  0.1  4404 1200 ?        S    02:24   0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root      7912  0.0  0.1  4404 1200 ?        S    02:24   0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root      7913  0.0  0.1  4404 1200 ?        S    02:24   0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root      7916  0.0  0.1  4404 1200 ?        S    02:24   0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root      7932  0.0  0.1  4404 1200 ?        S    02:24   0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root      7933  0.0  0.1  2784 1208 ?        S    02:24   0:00 /usr/sbin/sshd
root      7936  0.0  0.0  1248  436 ?        S    02:24   0:00 /usr/sbin/uptimed
daemon    7948  0.0  0.0  1388  584 ?        S    02:24   0:00 /usr/sbin/atd
root      7964  0.0  0.0  1656  688 ?        S    02:24   0:00 /usr/sbin/cron
root      9972  0.0  0.1  6464 2020 ?        S    02:25   0:00 /usr/sbin/sshd
root     10051  0.0  0.1  2236 1276 pts/11   S    02:25   0:00 -bash
root     26865  0.0  0.1  2760 1084 ?        S    02:31   0:00 /usr/sbin/xinetd -reuse
root      8328  0.0  0.0  2668  868 pts/11   R    03:53   0:00 ps aux

[oxygen]

netstat -pletunx

[dodolin]

man lsof

[hanzdampf]

Moin,

ich kann nicht behaupten die manpage zu lsof ganz gelesen (und verstanden) zu haben, bei 1800 Zeilen komprimierter Info auch etwas hart, aber die mir sinnvoll erscheinende Anwendung von lsof hat nichts erhellendes gebracht.

Code: Select all

lsof -i@83.151.17.xx:111,199

ergibt keinen Output.
Auch netstat -plentux gibt mir keine verwertbaren neuen Informationen.

Code: Select all

Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name   
tcp        0      0 83.151.17.xx:143        0.0.0.0:*               LISTEN      0          10206345   25277/cyrmaster     
tcp        0      0 83.151.17.xx:80         0.0.0.0:*               LISTEN      0          8105899    29358/apache        
tcp        0      0 83.151.17.xx:21         0.0.0.0:*               LISTEN      0          7927626    26865/xinetd        
tcp        0      0 83.151.17.xx:22         0.0.0.0:*               LISTEN      0          7913682    7933/sshd           
tcp        0      0 83.151.17.xx:25         0.0.0.0:*               LISTEN      0          10206639   25775/master        
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     10206700 25775/master        private/maildrop
unix  2      [ ACC ]     STREAM     LISTENING     10206720 25775/master        private/scalemail-backend
unix  2      [ ACC ]     STREAM     LISTENING     8103604 27578/mysqld        /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     10206645 25775/master        public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     10206652 25775/master        private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     10206656 25775/master        private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     10206350 25277/cyrmaster     /var/run/cyrus/socket/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     10206660 25775/master        private/defer
unix  2      [ ACC ]     STREAM     LISTENING     10206664 25775/master        public/flush
unix  2      [ ACC ]     STREAM     LISTENING     10206672 25775/master        private/smtp
unix  2      [ ACC ]     STREAM     LISTENING     7913672 7911/saslauthd      /var/spool/postfix/var/run/saslauthd/mux/mux
unix  2      [ ACC ]     STREAM     LISTENING     10206680 25775/master        public/showq
unix  2      [ ACC ]     STREAM     LISTENING     10206684 25775/master        private/error
unix  2      [ ACC ]     STREAM     LISTENING     10206688 25775/master        private/local
unix  2      [ ACC ]     STREAM     LISTENING     10206692 25775/master        private/virtual
unix  2      [ ACC ]     STREAM     LISTENING     10206696 25775/master        private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     10206704 25775/master        private/cyrus
unix  2      [ ACC ]     STREAM     LISTENING     10206668 25775/master        private/proxymap
unix  2      [ ACC ]     STREAM     LISTENING     10206676 25775/master        private/relay
unix  2      [ ACC ]     STREAM     LISTENING     10206708 25775/master        private/uucp
unix  2      [ ACC ]     STREAM     LISTENING     10206712 25775/master        private/ifmail
unix  2      [ ACC ]     STREAM     LISTENING     10206716 25775/master        private/bsmtp

Ich kann deshalb eure Antworten nicht richtig interpretieren, die Kürze und Klarheit derer ist aber ein Indiz dafür, dass ich einfach etwas offensichtliches übersehe :roll:

Sollte es so sein, bitte ich um eine Portion Holzhammer.
Danke.

[cschwede]

Moin,

ich kann nicht behaupten die manpage zu lsof ganz gelesen (und verstanden) zu haben, bei 1800 Zeilen komprimierter Info auch etwas hart, aber die mir sinnvoll erscheinende Anwendung von lsof hat nichts erhellendes gebracht.

Code: Select all

lsof -i@83.151.17.xx:111,199

ergibt keinen Output.

Versuchs doch mal mit lsof -i:111,199 - das ganze als Root bzw. mittels sudo. Was kommt dann raus?

[hanzdampf]

Versuchs doch mal mit lsof -i:111,199 - das ganze als Root bzw. mittels sudo. Was kommt dann raus?

nichts.

/edit
Ich kann übrigens per telnet auf 111 und 199 verbinden. :(

[oxygen]

Wenn netstat oder lsof die Ports nicht anzeigen, hast du wohl ein Rootkit drauf.

[captaincrunch]

An ein Rootkit glaube ich in dem Fall einfach nmal (noch) nicht. Wie genau sieht denn dein nmap-Auufruf aus? Was kommt beim telnet auf die beiden Ports raus?

[hanzdampf]

An ein Rootkit glaube ich in dem Fall einfach nmal (noch) nicht. Wie genau sieht denn dein nmap-Auufruf aus? Was kommt beim telnet auf die beiden Ports raus?

Ich hoffe es auch nicht!

nmap -sS 83.151.17.xx

Code: Select all

telnet 83.151.17.xx 111
Trying 83.151.17.xx...
Connected to xxx.de.
Escape character is '^]'.
...

Code: Select all

telnet 83.151.17.xx 199
Trying 83.151.17.xx...
Connected to xxx.de.
Escape character is '^]'.
...

...nach ner Weile kommt dann ein Timeout.
Wer die IP haben möchte, bitte per PM oder AIM/iChat anfragen, ich möchte dir nicht öffentlich in ein so gut besuchtes Forum schreiben.

...ich habe noch diesen Tip versucht:

Code: Select all

# ls -d /proc/* | grep [0-9] | wc -l; ps ax | wc -l 
ls: /proc/13887: No such file or directory
     40
     40

Btw: ich habe vor einiger Zeit mal den psybnc laufen gehabt, natürlich nicht als root! Irgendwann konnte ich mich nicht mehr mit meinem Passwort einloggen, da ich aber eh keine Zeit mehr zum ircen habe, hatte ich den bnc samt user und home einfach gelöscht ohne dem wirklich auf den grund zu gehen... das ist das einzige mögliche Einfallstor (neben php4 vll.) das mir so in den Sinn kommt. mach eigentlich jeden Tag ein apt-get upgrade.

Ich habe mal eben chkrootkit gepurged und neuinstalliert: Folgende Ausgabe:

Code: Select all

Searching for suspicious files and dirs, it may take a while... 
/usr/lib/perl/5.6.1/auto/File/Spec/.packlist /usr/lib/perl/5.6.1/auto/Test/Harness/.packlist /usr/lib/perl/5.6.1/auto/CGI/.packlist /usr/lib/perl/5.6.1/auto/CPAN/.packlist
...
Checking `lkm'... SIGINVISIBLE Adore found
...

Wobei Adore immer mal gefunden wurde und mal wieder nicht.

Was mich an der ganzen Sache stutzig macht ist die Tatsache, dass mein Traffic vollkommen normal ist, eher sogar geringer als sonst...Ich hoffe mal es ist wirklich nur ein komplexer Fehlalarm!

[captaincrunch]

Versuch's mal mit "nmap -sS -sV -O -P0 ip.dei.ner.kiste" (Achtung, die 3.0er-Version kennt -sV noch nicht) und mach das Ergebnis mal als Link zugänglich.

[hanzdampf]

http://8ung.at/h4nn12k405/nmap.txt

bitte

[dodolin]

Nutzt du tcp-wrapper?

cat /etc/hosts.allow
cat /etc/hosts.deny

[hanzdampf]

ich nutze xinetd für den proftpd und ehemals webmin. webmin hab ich aber deinstalliert, da ich es eh nicht verwendet hatte...

hosts.allow und hosts.deny sind leer, d.h. standard conf.

(oder meinst du tcpd? nein hab ich nicht drauf)

[hanzdampf]

bis auf den portscan gibt es kein weiteres indiz, dass ich ein rootkit drauf habe, kein erhöhter traffic (am router des isp gemessen) etc...
gibt es eine möglichkeit den traffic auf den ports abzuhören?

[chris76]

gibt es eine möglichkeit den traffic auf den ports abzuhören?

z.B. tcpdump

[hanzdampf]

Diese Ports erscheinen, weil auf dem Hostsystem meines Vservers diese Dienste laufen und offenbar an *:port gebunden waren.

Sollte jmd., der das hier liest und einen Vserver und ähnliche Probleme hat, nicht gleich die Panik schieben, sondern den ISP kontaktieren.

Danke an die anderen für die Mühe.

[wgot]

Hallo,

Sollte jmd., der das hier liest und einen Vserver und ähnliche Probleme hat

vor allem sollte er im ersten Beitrag gleich dazuschreiben daß es sich um einen Vserver handelt!

Gruß, Wolfgang

[hanzdampf]

vor allem sollte er im ersten Beitrag gleich dazuschreiben daß es sich um einen Vserver handelt!

..ich hab gerade noch mal meinen ersten Beitrag gelesen, und du hast Recht, ich habe es nicht erwähnt, auch nicht in den folgenden Beiträgen. Ich hätte schwören können das erwähnt zu haben, naja, war wohl etwas durch als ich die Post verfasst hatte, da habe ich das nun wohl nicht ganz unwesentlich Detail vergessen
Sorry.