ftp und rshell bzw. rcp

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

ftp und rshell bzw. rcp

Post by slayer2205 »

Hallo,

Auf meinem Server (Debian)sind zwei Ports offen,die es nicht sein müssen: 21, ftp (Seltsam, da gar kein ftp-Server läuft) und 514.

Wie kann ich rausfinden, welches Programm auf Port 21 lauscht und warum ist auf einmal (Nach einer XEN-Installation) der Port 514 offen?

Kann mir da jemand helfen?

EDIT: Ich habe zwar einen Profi (?) an der Hand, der das für mich machen sollte, aber ich will trotzdem sicher gehen. netstat gibt mir das aus:

Code: Select all

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp6       0    268 Debian-40-etch-32-:2122 frod-4db8f4b7.pool:2934 ESTABLISHED
tcp6       0      0 Debian-40-etch-32-:2122 frod-4db8f4b7.pool:2951 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                    3755     @/org/kernel/udev/udevd
unix  6      [ ]         DGRAM                    6283     /dev/log
unix  2      [ ]         DGRAM                    7245
unix  3      [ ]         STREAM     CONNECTED     7244
unix  3      [ ]         STREAM     CONNECTED     7243
unix  2      [ ]         DGRAM                    7045
unix  3      [ ]         STREAM     CONNECTED     7042
unix  3      [ ]         STREAM     CONNECTED     7041
unix  2      [ ]         DGRAM                    6383
unix  2      [ ]         DGRAM                    6298
Ist das nicht etwas viel, dafür dass nur http (80) und ssh (2122) laufen soll?
Last edited by slayer2205 on 2008-01-23 19:43, edited 1 time in total.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11191
Joined: 2003-02-27 01:00
Location: Hamburg
Contact:
Contact Joe User
 

Re: ftp und rshell bzw. rcp

Post by Joe User »

man lsof
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Ok, ich habe das jetzt mit lsof -nPi gemacht, da sind lediglich 80, 3306 (nur 127.0.0.1), 25 (auch nur 127.0.0.1) und 2122 offen. Warum erkennt nmap dann viel mehr offene Ports?

Ich habe mich heute mal darum gekümmert, weil ich gestern einen outgoing traffic von ~2 GB hatte, was mir seltsam vorkommt, da ich sonst immer nur um die 50 - 100 MB habe.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11191
Joined: 2003-02-27 01:00
Location: Hamburg
Contact:
Contact Joe User
 

Re: ftp und rshell bzw. rcp

Post by Joe User »

Gecrackt?

Code: Select all

netstat -tulpen
ps auxf
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

netstat -tulpen

Code: Select all

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     101        6385       2441/mysqld
tcp6       0      0 :::2122                 :::*                    LISTEN     0          7097       2747/sshd
tcp6       0      0 :::80                   :::*                    LISTEN     0          27692      29555/apache2
ps auxf

Code: Select all

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   1952   664 ?        Ss   19:13   0:00 init [2]
root         2  0.0  0.0      0     0 ?        S    19:13   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN   19:13   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S    19:13   0:00 [migration/1]
root         5  0.0  0.0      0     0 ?        SN   19:13   0:00 [ksoftirqd/1]
root         6  0.0  0.0      0     0 ?        S<   19:13   0:00 [events/0]
root         7  0.0  0.0      0     0 ?        S<   19:13   0:00 [events/1]
root         8  0.0  0.0      0     0 ?        S<   19:13   0:00 [khelper]
root         9  0.0  0.0      0     0 ?        S<   19:13   0:00 [kthread]
root        13  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kblockd/0]
root        14  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kblockd/1]
root        15  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kacpid]
root       117  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kseriod]
root       160  0.0  0.0      0     0 ?        S    19:13   0:00  _ [pdflush]
root       161  0.0  0.0      0     0 ?        S    19:13   0:00  _ [pdflush]
root       162  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kswapd0]
root       163  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [aio/0]
root       164  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [aio/1]
root       406  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [xfslogd/0]
root       407  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [xfslogd/1]
root       408  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [xfsdatad/0]
root       409  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [xfsdatad/1]
root       447  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [ata/0]
root       448  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [ata/1]
root       449  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [ata_aux]
root       479  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [scsi_eh_0]
root       480  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [scsi_eh_1]
root       481  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [scsi_eh_2]
root       482  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [scsi_eh_3]
root       845  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [khubd]
root      1227  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kjournald]
root      1756  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kpsmoused]
root      2004  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kmirrord]
root      2044  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kjournald]
root      2046  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kjournald]
root      2048  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kjournald]
root      2050  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kjournald]
root      2561  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kondemand/0]
root      2563  0.0  0.0      0     0 ?        S<   19:13   0:00  _ [kondemand/1]
root       309  0.0  0.0      0     0 ?        S    19:13   0:00 [kirqd]
root      1405  0.0  0.0   2180   596 ?        S<s  19:13   0:00 udevd --daemon
root      2358  0.0  0.0   1580   380 ?        Ss   19:13   0:00 /sbin/klogd -x
root      2404  0.0  0.0   2676  1344 ?        S    19:13   0:00 /bin/sh /usr/bin/mysqld_safe
mysql     2441  0.0  0.9 127188 18716 ?        Sl   19:13   0:00  _ /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=m
root      2442  0.0  0.0   1568   508 ?        S    19:13   0:00  _ logger -p daemon.err -t mysqld_safe -i -t mysqld
root      2553  0.0  0.0   1580   552 ?        Ss   19:13   0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      2660  0.0  0.0   1924   332 ?        Ss   19:13   0:00 /sbin/mdadm --monitor --pid-file /var/run/mdadm/monitor.pid --daemoni
root      2670  0.0  0.0   2196   896 ?        Ss   19:13   0:00 /usr/sbin/cron
root      2707  0.0  0.0   1580   500 tty1     Ss+  19:13   0:00 /sbin/getty 38400 tty1
root      2710  0.0  0.0   1580   500 tty2     Ss+  19:13   0:00 /sbin/getty 38400 tty2
root      2711  0.0  0.0   1580   496 tty3     Ss+  19:13   0:00 /sbin/getty 38400 tty3
root      2712  0.0  0.0   1580   496 tty4     Ss+  19:13   0:00 /sbin/getty 38400 tty4
root      2713  0.0  0.0   1576   496 tty5     Ss+  19:13   0:00 /sbin/getty 38400 tty5
root      2714  0.0  0.0   1576   496 tty6     Ss+  19:13   0:00 /sbin/getty 38400 tty6
root      2725  0.0  0.1   7704  2316 ?        Ss   19:14   0:00 sshd: marc [priv]
marc      2727  0.0  0.0   7860  1720 ?        S    19:14   0:00  _ sshd: marc@pts/0
marc      2728  0.0  0.0   3632  1980 pts/0    Ss   19:14   0:00      _ -sh
root      2788  0.0  0.0   2848  1100 pts/0    S    19:20   0:00          _ su
root      2789  0.0  0.0   3172  1796 pts/0    S    19:20   0:00              _ bash
root     31331  0.0  0.0   2532   964 pts/0    R+   20:45   0:00                  _ ps auxf
root      2747  0.0  0.0   4932  1104 ?        Ss   19:16   0:00 /usr/sbin/sshd
root     31200  0.0  0.1   7700  2312 ?        Ss   20:17   0:00  _ sshd: marc [priv]
marc     31202  0.0  0.0   7856  1596 ?        S    20:17   0:00      _ sshd: marc@pts/1
marc     31203  0.0  0.0   3620  1924 pts/1    Ss   20:17   0:00          _ -sh
root     31206  0.0  0.0   2848  1100 pts/1    S    20:17   0:00              _ su
root     31207  0.0  0.0   3168  1780 pts/1    S+   20:17   0:00                  _ bash
root     29555  0.0  0.1   9832  2792 ?        Ss   19:32   0:00 /usr/sbin/apache2 -k start
www-data 29556  0.0  0.0   9768  2036 ?        S    19:32   0:00  _ /usr/sbin/apache2 -k start
1001     29567  0.1  0.3  18140  6896 ?        S    19:32   0:07  |   _ /usr/bin/php5-cgi
nodomain 29586  0.0  0.3  17984  6512 ?        S    19:39   0:00  |   _ /usr/bin/php5-cgi
1001     31281  0.1  0.3  18140  6864 ?        S    20:19   0:02  |   _ /usr/bin/php5-cgi
www-data 29559  0.0  0.1  10096  2784 ?        S    19:32   0:00  _ /usr/sbin/apache2 -k start
www-data 29561  0.0  0.1  10096  2824 ?        S    19:32   0:00  _ /usr/sbin/apache2 -k start
www-data 29563  0.0  0.1   9964  2768 ?        S    19:32   0:00  _ /usr/sbin/apache2 -k start
www-data 29564  0.0  0.1  10104  2800 ?        S    19:32   0:00  _ /usr/sbin/apache2 -k start
www-data 29568  0.0  0.1  10096  2912 ?        S    19:32   0:00  _ /usr/sbin/apache2 -k start
www-data 29742  0.0  0.1   9964  2736 ?        S    20:11   0:00  _ /usr/sbin/apache2 -k start
www-data 31277  0.0  0.1  10096  2788 ?        S    20:19   0:00  _ /usr/sbin/apache2 -k start
www-data 31313  0.0  0.1   9964  2440 ?        S    20:31   0:00  _ /usr/sbin/apache2 -k start
www-data 31314  0.0  0.1   9964  2128 ?        S    20:31   0:00  _ /usr/sbin/apache2 -k start
www-data 31315  0.0  0.0   9964  2008 ?        S    20:31   0:00  _ /usr/sbin/apache2 -k start
root     29727  0.0  0.0   1628   612 ?        Ss   20:10   0:00 /sbin/syslogd
Top
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

Re: ftp und rshell bzw. rcp

Post by daemotron »

Die Prozesse und netstat sehen normal aus. Poste doch mal bitte die genaue Ausgabe von nmap.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

nmap:

Code: Select all

Not shown: 1676 closed ports
PORT    STATE    SERVICE
21/tcp  open     ftp
80/tcp  open     http
445/tcp filtered microsoft-ds
514/tcp filtered shell
Das Seltsame ist, wie gesagt, der offene Port 21..
Top
aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main
 

Re: ftp und rshell bzw. rcp

Post by aubergine »

netstat -npl
lsof | grep -e LISTEN

Bitte mal die Ausgabe posten.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Code: Select all

mysqld     2441     mysql   13u     IPv4       6385                 TCP localhost:mysql (LISTEN)
sshd       2747      root    3u     IPv6       7097                 TCP *:2122 (LISTEN)
apache2   29555      root    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29556  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29559  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29561  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29563  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29564  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29568  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   29742  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   31277  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   31313  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   31314  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
apache2   31315  www-data    3u     IPv6      27692                 TCP *:www (LISTEN)
Nur mal so nebenbei: Danke, dass ihr euch so eine Mühe macht.
Top
aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main
 

Re: ftp und rshell bzw. rcp

Post by aubergine »

2 Möglichkeiten:

1. Das System ist gehackt
2. Mit der nmap Ausgabe ist etwas faul

//

Mach am besten mal einen tcp connect mittels telnet von einem anderen Rechner aus:

telnet ip 21
und lokal auf dem server
telnet localhost 21
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Die Verbindung wird jedesmal vom Host (Mein Server) abgebrochen, bzw. von sich selbst aus abgewiesen.
Top
bernsteinkater
Posts: 67
Joined: 2006-06-27 11:47
 

Re: ftp und rshell bzw. rcp

Post by bernsteinkater »

Was passiert wenn Du auf Deinen Server auf Port 80 zugreifst (entweder per telnet oder im Browser)? Die meisten Anbieter haben eine Rescuesystem von dem Du aus zB mittels "chkrootkit" oder "rkhunter" Dein System checken kannst. Wenn Dein Anbieter auch ein Rescuesystem anbietet solltest Du das dann ggf. auch mal machen.

Ansonsten auch mal nmap-scans von anderen Rechnern oder anderen Distris aus machen um einen Fehler in nmap auszuschliessen (zB LiveCD wie Knoppix nutzen).
Top
aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main
 

Re: ftp und rshell bzw. rcp

Post by aubergine »

slayer2205 wrote:Die Verbindung wird jedesmal vom Host (Mein Server) abgebrochen, bzw. von sich selbst aus abgewiesen.
Bekommst du ein Connection closed oder ein Connection refused als antwort?

Falls #2 dann ist was an der nmap Ausgabe faul - warum auch immer.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Von einem anderen Rechner aus closed. Von siche selber aus refused
Top
aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main
 

Re: ftp und rshell bzw. rcp

Post by aubergine »

Ich möchte nun jetzt hier nicht mutmaßen inwiefern die Kiste gehackt sein könnte denn Connection closed bedeutet dass da was lauscht.

Daher passe ich an dieser Stelle :)
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Kann man versuchen, die IP-Pakete mitzuschneiden, um anhand dessen zu erkennen, um was es sich handeln könnte?
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Jetzt habe ich den Server mal auf eigene Hand komplett neu installiert (Etch minimal) und der Port ist immer noch offen.. Kann das vielleicht mit winscp zusammen hängen?
Top
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn
 

Re: ftp und rshell bzw. rcp

Post by EdRoxter »

Was sagt denn netstat -tulpen?
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Code: Select all

Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     102        39022      17074/mysqld
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     0          9559       2884/exim4
tcp6       0      0 :::80                   :::*                    LISTEN     0          38628      16887/apache2
tcp6       0      0 :::45213                :::*                    LISTEN     0          6260       2462/sshd
Top
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

Re: ftp und rshell bzw. rcp

Post by daemotron »

slayer2205 wrote:nmap:

Code: Select all

Not shown: 1676 closed ports
PORT    STATE    SERVICE
21/tcp  open     ftp
80/tcp  open     http
445/tcp filtered microsoft-ds
514/tcp filtered shell
Das Seltsame ist, wie gesagt, der offene Port 21..
Die beiden letzten Ports werden nur von irgendeinem Router unterwegs gefilter, das hat nichts mit Deinem Server zu tun. Aber mit dem Port 21 stimmt definitiv irgendetwas nicht. Mit welchen Optionen startest Du denn nmap?

@aubergine: Für den offenen Port 21 gibt es noch eine andere Erklärung: Die Route führt durch einen transparenten Proxy für HTTP und FTP. Das sieht dann mit nmap genauso aus...
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Mit gar keinem - einfach "nmap ...ip..."

Vielleicht hilft das: Der Server steht bei Hetzner und bei tracert ist der letzte Punkt

static.174.43.46.78.clients.your-server.de [...ip...]
Top
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn
 

Re: ftp und rshell bzw. rcp

Post by EdRoxter »

slayer2205 wrote:

Code: Select all

Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     102        39022      17074/mysqld
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     0          9559       2884/exim4
tcp6       0      0 :::80                   :::*                    LISTEN     0          38628      16887/apache2
tcp6       0      0 :::45213                :::*                    LISTEN     0          6260       2462/sshd
Port 21 ist auf deinem Server definitiv nicht geöffnet. Also ist es wahrscheinlich, dass jfreund mit seinem letzten Satz recht hat.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Dann bin ich beruhigt. Dann hätte ich mir wahrscheinlich die Neuinstallation auch sparen können. Aber egal. Übung macht den Meister :)
Top
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

Re: ftp und rshell bzw. rcp

Post by daemotron »

Es liegt definitiv an Deinem lokalen Rechner oder auf der Route von Dir zu Hetzner. Du solltest so etwas bekommen:

Code: Select all

nmap 12.34.56.78

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-25 20:58 CET
Interesting ports on static.78.56.34.12.clients.your-server.de (12.34.56.78):
Not shown: 1695 closed ports
PORT     STATE    SERVICE
80/tcp   open     http
6667/tcp filtered irc

Nmap finished: 1 IP address (1 host up) scanned in 548.733 seconds
Port 6667 wird von Hetzner gefiltert, alles andere muss von Deinem lokalen Netz oder Deinem ISP stammen.
Top
slayer2205
Posts: 48
Joined: 2007-12-27 17:33
 

Re: ftp und rshell bzw. rcp

Post by slayer2205 »

Das hatte ich ganz am Anfang auch. Es gab aber noch etwas, das sich microsoft-ds nannte, aber ich denke, das kam ebenfalls von Hetzner.

Danke für eure Hilfe!
Top
Post Reply

Return to “Security”