Page 1 of 1
[Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 03:46
by hanzdampf
[edit]Problem gelöst![/edit]
Guten Abend,
ich habe meinen Server seit längerem mal wieder mit nmap abgescannt, ich weiss auch gar nicht warum... war wohl genau richtig, denn ich entdeckte offene Ports, die da nichts zu suchen haben. Hab dann auf einem anderen Host nochmal gescannt mit anderer nmap Version und folgende Ports, bzw dahinter lauschende Dienste haben sind definitiv fehl am Platze:
Code: Select all
Starting nmap 3.70
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
143/tcp open imap
199/tcp open smux
2000/tcp open callbook
Code: Select all
Starting nmap V. 3.00
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open sunrpc
143/tcp open imap2
199/tcp open smux
2000/tcp open callbook
sunrpc bzw. rpcbind kenn ich von meiner WS, das sollte portmap sein, nunja, portmap ist nicht installiert, habs ich natürlich sofort gecheckt.
naja, erstmal einen Blick in /etc/services geworfen, was denn smux und callbook sein könnte... keine wirklich verwertbaren Informationen gefunden. libsnmp-base und libsnmp4.2 sind abhängig zu cyrus installiert, snmpd hab ich niemals auf der kiste gehabt. callbook könnte mit cyrus ebenfalls mit cyrus/sieve zu tun haben, bis zum heutigen Tag sind die beiden Ports jedoch nie geöffnet gewesen, und der Service läuft seit Monaten unverändert...
Hat da jmd. eine Idee?
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 03:55
by hanzdampf
Ah, callbook hat sich halbwegs aufgeklärt, hängt definitiv mit cyrus zusammen, da der Port bei beendetem Dienst geschlossen wird.
Was aber smux und in meinem Fall rpcbind verursacht ist mir schleierhaft! Naja, ich hoffe mir kann jmd. helfen.
Code: Select all
[root@vl09s20]: lsof -i | grep -e UDP -e LISTEN
sshd 7933 root 3u IPv4 7913682 TCP xxx.de:ssh (LISTEN)
xinetd 26865 root 5u IPv4 7927626 TCP xxx.de:ftp (LISTEN)
Code: Select all
[root@vl09s20]: netstat -ntldp
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 83.151.17.xx:21 0.0.0.0:* LISTEN 26865/xinetd
tcp 0 0 83.151.17.xx:22 0.0.0.0:* LISTEN 7933/sshd
Code: Select all
Starting nmap 3.70
21/tcp open ftp ProFTPD 1.2.5rc1
22/tcp open ssh OpenSSH 3.4p1 (protocol 2.0)
111/tcp open rpcbind 2 (rpc #100000)
199/tcp open smux Linux SNMP multiplexer
Code: Select all
[root@vl09s20]: ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.1 0.0 1492 448 ? S Sep21 5:53 init [2]
root 7412 0.0 0.0 2036 780 ? S 02:24 0:00 /sbin/syslogd
root 7911 0.0 0.1 4404 1200 ? S 02:24 0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root 7912 0.0 0.1 4404 1200 ? S 02:24 0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root 7913 0.0 0.1 4404 1200 ? S 02:24 0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root 7916 0.0 0.1 4404 1200 ? S 02:24 0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root 7932 0.0 0.1 4404 1200 ? S 02:24 0:00 /usr/sbin/saslauthd -m /var/spool/postfix/var/run/saslauthd/mux -a pam
root 7933 0.0 0.1 2784 1208 ? S 02:24 0:00 /usr/sbin/sshd
root 7936 0.0 0.0 1248 436 ? S 02:24 0:00 /usr/sbin/uptimed
daemon 7948 0.0 0.0 1388 584 ? S 02:24 0:00 /usr/sbin/atd
root 7964 0.0 0.0 1656 688 ? S 02:24 0:00 /usr/sbin/cron
root 9972 0.0 0.1 6464 2020 ? S 02:25 0:00 /usr/sbin/sshd
root 10051 0.0 0.1 2236 1276 pts/11 S 02:25 0:00 -bash
root 26865 0.0 0.1 2760 1084 ? S 02:31 0:00 /usr/sbin/xinetd -reuse
root 8328 0.0 0.0 2668 868 pts/11 R 03:53 0:00 ps aux
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 10:20
by oxygen
netstat -pletunx
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 11:57
by dodolin
man lsof
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 13:13
by hanzdampf
Moin,
ich kann nicht behaupten die manpage zu lsof ganz gelesen (und verstanden) zu haben, bei 1800 Zeilen komprimierter Info auch etwas hart, aber die mir sinnvoll erscheinende Anwendung von lsof hat nichts erhellendes gebracht.
ergibt keinen Output.
Auch netstat -plentux gibt mir keine verwertbaren neuen Informationen.
Code: Select all
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 83.151.17.xx:143 0.0.0.0:* LISTEN 0 10206345 25277/cyrmaster
tcp 0 0 83.151.17.xx:80 0.0.0.0:* LISTEN 0 8105899 29358/apache
tcp 0 0 83.151.17.xx:21 0.0.0.0:* LISTEN 0 7927626 26865/xinetd
tcp 0 0 83.151.17.xx:22 0.0.0.0:* LISTEN 0 7913682 7933/sshd
tcp 0 0 83.151.17.xx:25 0.0.0.0:* LISTEN 0 10206639 25775/master
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 10206700 25775/master private/maildrop
unix 2 [ ACC ] STREAM LISTENING 10206720 25775/master private/scalemail-backend
unix 2 [ ACC ] STREAM LISTENING 8103604 27578/mysqld /var/run/mysqld/mysqld.sock
unix 2 [ ACC ] STREAM LISTENING 10206645 25775/master public/cleanup
unix 2 [ ACC ] STREAM LISTENING 10206652 25775/master private/rewrite
unix 2 [ ACC ] STREAM LISTENING 10206656 25775/master private/bounce
unix 2 [ ACC ] STREAM LISTENING 10206350 25277/cyrmaster /var/run/cyrus/socket/lmtp
unix 2 [ ACC ] STREAM LISTENING 10206660 25775/master private/defer
unix 2 [ ACC ] STREAM LISTENING 10206664 25775/master public/flush
unix 2 [ ACC ] STREAM LISTENING 10206672 25775/master private/smtp
unix 2 [ ACC ] STREAM LISTENING 7913672 7911/saslauthd /var/spool/postfix/var/run/saslauthd/mux/mux
unix 2 [ ACC ] STREAM LISTENING 10206680 25775/master public/showq
unix 2 [ ACC ] STREAM LISTENING 10206684 25775/master private/error
unix 2 [ ACC ] STREAM LISTENING 10206688 25775/master private/local
unix 2 [ ACC ] STREAM LISTENING 10206692 25775/master private/virtual
unix 2 [ ACC ] STREAM LISTENING 10206696 25775/master private/lmtp
unix 2 [ ACC ] STREAM LISTENING 10206704 25775/master private/cyrus
unix 2 [ ACC ] STREAM LISTENING 10206668 25775/master private/proxymap
unix 2 [ ACC ] STREAM LISTENING 10206676 25775/master private/relay
unix 2 [ ACC ] STREAM LISTENING 10206708 25775/master private/uucp
unix 2 [ ACC ] STREAM LISTENING 10206712 25775/master private/ifmail
unix 2 [ ACC ] STREAM LISTENING 10206716 25775/master private/bsmtp
Ich kann deshalb eure Antworten nicht richtig interpretieren, die Kürze und Klarheit derer ist aber ein Indiz dafür, dass ich einfach etwas offensichtliches übersehe :roll:
Sollte es so sein, bitte ich um eine Portion Holzhammer.
Danke.
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 13:23
by cschwede
hanzdampf wrote:Moin,
ich kann nicht behaupten die manpage zu lsof ganz gelesen (und verstanden) zu haben, bei 1800 Zeilen komprimierter Info auch etwas hart, aber die mir sinnvoll erscheinende Anwendung von lsof hat nichts erhellendes gebracht.
ergibt keinen Output.
Versuchs doch mal mit lsof -i:111,199 - das ganze als Root bzw. mittels sudo. Was kommt dann raus?
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 13:26
by hanzdampf
Versuchs doch mal mit lsof -i:111,199 - das ganze als Root bzw. mittels sudo. Was kommt dann raus?
nichts.
/edit
Ich kann übrigens per telnet auf 111 und 199 verbinden. :(
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 14:28
by oxygen
Wenn netstat oder lsof die Ports nicht anzeigen, hast du wohl ein Rootkit drauf.
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 14:36
by captaincrunch
An ein Rootkit glaube ich in dem Fall einfach nmal (noch) nicht. Wie genau sieht denn dein nmap-Auufruf aus? Was kommt beim telnet auf die beiden Ports raus?
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 17:35
by hanzdampf
CaptainCrunch wrote:An ein Rootkit glaube ich in dem Fall einfach nmal (noch) nicht. Wie genau sieht denn dein nmap-Auufruf aus? Was kommt beim telnet auf die beiden Ports raus?
Ich hoffe es auch nicht!
nmap -sS 83.151.17.xx
Code: Select all
telnet 83.151.17.xx 111
Trying 83.151.17.xx...
Connected to xxx.de.
Escape character is '^]'.
...
Code: Select all
telnet 83.151.17.xx 199
Trying 83.151.17.xx...
Connected to xxx.de.
Escape character is '^]'.
...
...nach ner Weile kommt dann ein Timeout.
Wer die IP haben möchte, bitte per PM oder AIM/iChat anfragen, ich möchte dir nicht öffentlich in ein so gut besuchtes Forum schreiben.
...ich habe noch diesen Tip versucht:
Code: Select all
# ls -d /proc/* | grep [0-9] | wc -l; ps ax | wc -l
ls: /proc/13887: No such file or directory
40
40
Btw: ich habe vor einiger Zeit mal den psybnc laufen gehabt, natürlich nicht als root! Irgendwann konnte ich mich nicht mehr mit meinem Passwort einloggen, da ich aber eh keine Zeit mehr zum ircen habe, hatte ich den bnc samt user und home einfach gelöscht ohne dem wirklich auf den grund zu gehen... das ist das einzige mögliche Einfallstor (neben php4 vll.) das mir so in den Sinn kommt. mach eigentlich jeden Tag ein apt-get upgrade.
Ich habe mal eben chkrootkit gepurged und neuinstalliert: Folgende Ausgabe:
Code: Select all
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl/5.6.1/auto/File/Spec/.packlist /usr/lib/perl/5.6.1/auto/Test/Harness/.packlist /usr/lib/perl/5.6.1/auto/CGI/.packlist /usr/lib/perl/5.6.1/auto/CPAN/.packlist
...
Checking `lkm'... SIGINVISIBLE Adore found
...
Wobei Adore immer mal gefunden wurde und mal wieder nicht.
Was mich an der ganzen Sache stutzig macht ist die Tatsache, dass mein Traffic vollkommen normal ist, eher sogar geringer als sonst...Ich hoffe mal es ist wirklich nur ein komplexer Fehlalarm!
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 17:50
by captaincrunch
Versuch's mal mit "nmap -sS -sV -O -P0 ip.dei.ner.kiste" (Achtung, die 3.0er-Version kennt -sV noch nicht) und mach das Ergebnis mal als Link zugänglich.
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 19:48
by hanzdampf
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 20:11
by dodolin
Nutzt du tcp-wrapper?
cat /etc/hosts.allow
cat /etc/hosts.deny
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-25 21:37
by hanzdampf
ich nutze xinetd für den proftpd und ehemals webmin. webmin hab ich aber deinstalliert, da ich es eh nicht verwendet hatte...
hosts.allow und hosts.deny sind leer, d.h. standard conf.
(oder meinst du tcpd? nein hab ich nicht drauf)
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-27 01:02
by hanzdampf
bis auf den portscan gibt es kein weiteres indiz, dass ich ein rootkit drauf habe, kein erhöhter traffic (am router des isp gemessen) etc...
gibt es eine möglichkeit den traffic auf den ports abzuhören?
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-27 06:41
by chris76
hanzdampf wrote:gibt es eine möglichkeit den traffic auf den ports abzuhören?
z.B. tcpdump
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-28 19:19
by hanzdampf
Diese Ports erscheinen, weil auf dem Hostsystem meines Vservers diese Dienste laufen und offenbar an *:port gebunden waren.
Sollte jmd., der das hier liest und einen Vserver und ähnliche Probleme hat, nicht gleich die Panik schieben, sondern den ISP kontaktieren.
Danke an die anderen für die Mühe.
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-28 20:10
by wgot
Hallo,
hanzdampf wrote:Sollte jmd., der das hier liest und einen Vserver und ähnliche Probleme hat
vor allem sollte er im ersten Beitrag gleich dazuschreiben daß es sich um einen Vserver handelt!
Gruß, Wolfgang
Re: [Gelöst] Offene Ports, kein dazugehöriger Dienst
Posted: 2004-09-28 20:17
by hanzdampf
wgot wrote:vor allem sollte er im ersten Beitrag gleich dazuschreiben daß es sich um einen Vserver handelt!
..ich hab gerade noch mal meinen ersten Beitrag gelesen, und du hast Recht, ich habe es nicht erwähnt, auch nicht in den folgenden Beiträgen. Ich hätte schwören können das erwähnt zu haben, naja, war wohl etwas durch als ich die Post verfasst hatte, da habe ich das nun wohl nicht ganz unwesentlich Detail vergessen
Sorry.