Page 1 of 1
ftp und rshell bzw. rcp
Posted: 2008-01-23 19:38
by slayer2205
Hallo,
Auf meinem Server (Debian)sind zwei Ports offen,die es nicht sein müssen: 21, ftp (Seltsam, da gar kein ftp-Server läuft) und 514.
Wie kann ich rausfinden, welches Programm auf Port 21 lauscht und warum ist auf einmal (Nach einer XEN-Installation) der Port 514 offen?
Kann mir da jemand helfen?
EDIT: Ich habe zwar einen Profi (?) an der Hand, der das für mich machen sollte, aber ich will trotzdem sicher gehen. netstat gibt mir das aus:
Code: Select all
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp6 0 268 Debian-40-etch-32-:2122 frod-4db8f4b7.pool:2934 ESTABLISHED
tcp6 0 0 Debian-40-etch-32-:2122 frod-4db8f4b7.pool:2951 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 3755 @/org/kernel/udev/udevd
unix 6 [ ] DGRAM 6283 /dev/log
unix 2 [ ] DGRAM 7245
unix 3 [ ] STREAM CONNECTED 7244
unix 3 [ ] STREAM CONNECTED 7243
unix 2 [ ] DGRAM 7045
unix 3 [ ] STREAM CONNECTED 7042
unix 3 [ ] STREAM CONNECTED 7041
unix 2 [ ] DGRAM 6383
unix 2 [ ] DGRAM 6298
Ist das nicht etwas viel, dafür dass nur http (80) und ssh (2122) laufen soll?
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 19:43
by Joe User
man lsof
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 19:59
by slayer2205
Ok, ich habe das jetzt mit lsof -nPi gemacht, da sind lediglich 80, 3306 (nur 127.0.0.1), 25 (auch nur 127.0.0.1) und 2122 offen. Warum erkennt nmap dann viel mehr offene Ports?
Ich habe mich heute mal darum gekümmert, weil ich gestern einen outgoing traffic von ~2 GB hatte, was mir seltsam vorkommt, da ich sonst immer nur um die 50 - 100 MB habe.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 20:29
by Joe User
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 20:44
by slayer2205
netstat -tulpen
Code: Select all
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 101 6385 2441/mysqld
tcp6 0 0 :::2122 :::* LISTEN 0 7097 2747/sshd
tcp6 0 0 :::80 :::* LISTEN 0 27692 29555/apache2
ps auxf
Code: Select all
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1952 664 ? Ss 19:13 0:00 init [2]
root 2 0.0 0.0 0 0 ? S 19:13 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN 19:13 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S 19:13 0:00 [migration/1]
root 5 0.0 0.0 0 0 ? SN 19:13 0:00 [ksoftirqd/1]
root 6 0.0 0.0 0 0 ? S< 19:13 0:00 [events/0]
root 7 0.0 0.0 0 0 ? S< 19:13 0:00 [events/1]
root 8 0.0 0.0 0 0 ? S< 19:13 0:00 [khelper]
root 9 0.0 0.0 0 0 ? S< 19:13 0:00 [kthread]
root 13 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kblockd/0]
root 14 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kblockd/1]
root 15 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kacpid]
root 117 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kseriod]
root 160 0.0 0.0 0 0 ? S 19:13 0:00 _ [pdflush]
root 161 0.0 0.0 0 0 ? S 19:13 0:00 _ [pdflush]
root 162 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kswapd0]
root 163 0.0 0.0 0 0 ? S< 19:13 0:00 _ [aio/0]
root 164 0.0 0.0 0 0 ? S< 19:13 0:00 _ [aio/1]
root 406 0.0 0.0 0 0 ? S< 19:13 0:00 _ [xfslogd/0]
root 407 0.0 0.0 0 0 ? S< 19:13 0:00 _ [xfslogd/1]
root 408 0.0 0.0 0 0 ? S< 19:13 0:00 _ [xfsdatad/0]
root 409 0.0 0.0 0 0 ? S< 19:13 0:00 _ [xfsdatad/1]
root 447 0.0 0.0 0 0 ? S< 19:13 0:00 _ [ata/0]
root 448 0.0 0.0 0 0 ? S< 19:13 0:00 _ [ata/1]
root 449 0.0 0.0 0 0 ? S< 19:13 0:00 _ [ata_aux]
root 479 0.0 0.0 0 0 ? S< 19:13 0:00 _ [scsi_eh_0]
root 480 0.0 0.0 0 0 ? S< 19:13 0:00 _ [scsi_eh_1]
root 481 0.0 0.0 0 0 ? S< 19:13 0:00 _ [scsi_eh_2]
root 482 0.0 0.0 0 0 ? S< 19:13 0:00 _ [scsi_eh_3]
root 845 0.0 0.0 0 0 ? S< 19:13 0:00 _ [khubd]
root 1227 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kjournald]
root 1756 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kpsmoused]
root 2004 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kmirrord]
root 2044 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kjournald]
root 2046 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kjournald]
root 2048 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kjournald]
root 2050 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kjournald]
root 2561 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kondemand/0]
root 2563 0.0 0.0 0 0 ? S< 19:13 0:00 _ [kondemand/1]
root 309 0.0 0.0 0 0 ? S 19:13 0:00 [kirqd]
root 1405 0.0 0.0 2180 596 ? S<s 19:13 0:00 udevd --daemon
root 2358 0.0 0.0 1580 380 ? Ss 19:13 0:00 /sbin/klogd -x
root 2404 0.0 0.0 2676 1344 ? S 19:13 0:00 /bin/sh /usr/bin/mysqld_safe
mysql 2441 0.0 0.9 127188 18716 ? Sl 19:13 0:00 _ /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=m
root 2442 0.0 0.0 1568 508 ? S 19:13 0:00 _ logger -p daemon.err -t mysqld_safe -i -t mysqld
root 2553 0.0 0.0 1580 552 ? Ss 19:13 0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
root 2660 0.0 0.0 1924 332 ? Ss 19:13 0:00 /sbin/mdadm --monitor --pid-file /var/run/mdadm/monitor.pid --daemoni
root 2670 0.0 0.0 2196 896 ? Ss 19:13 0:00 /usr/sbin/cron
root 2707 0.0 0.0 1580 500 tty1 Ss+ 19:13 0:00 /sbin/getty 38400 tty1
root 2710 0.0 0.0 1580 500 tty2 Ss+ 19:13 0:00 /sbin/getty 38400 tty2
root 2711 0.0 0.0 1580 496 tty3 Ss+ 19:13 0:00 /sbin/getty 38400 tty3
root 2712 0.0 0.0 1580 496 tty4 Ss+ 19:13 0:00 /sbin/getty 38400 tty4
root 2713 0.0 0.0 1576 496 tty5 Ss+ 19:13 0:00 /sbin/getty 38400 tty5
root 2714 0.0 0.0 1576 496 tty6 Ss+ 19:13 0:00 /sbin/getty 38400 tty6
root 2725 0.0 0.1 7704 2316 ? Ss 19:14 0:00 sshd: marc [priv]
marc 2727 0.0 0.0 7860 1720 ? S 19:14 0:00 _ sshd: marc@pts/0
marc 2728 0.0 0.0 3632 1980 pts/0 Ss 19:14 0:00 _ -sh
root 2788 0.0 0.0 2848 1100 pts/0 S 19:20 0:00 _ su
root 2789 0.0 0.0 3172 1796 pts/0 S 19:20 0:00 _ bash
root 31331 0.0 0.0 2532 964 pts/0 R+ 20:45 0:00 _ ps auxf
root 2747 0.0 0.0 4932 1104 ? Ss 19:16 0:00 /usr/sbin/sshd
root 31200 0.0 0.1 7700 2312 ? Ss 20:17 0:00 _ sshd: marc [priv]
marc 31202 0.0 0.0 7856 1596 ? S 20:17 0:00 _ sshd: marc@pts/1
marc 31203 0.0 0.0 3620 1924 pts/1 Ss 20:17 0:00 _ -sh
root 31206 0.0 0.0 2848 1100 pts/1 S 20:17 0:00 _ su
root 31207 0.0 0.0 3168 1780 pts/1 S+ 20:17 0:00 _ bash
root 29555 0.0 0.1 9832 2792 ? Ss 19:32 0:00 /usr/sbin/apache2 -k start
www-data 29556 0.0 0.0 9768 2036 ? S 19:32 0:00 _ /usr/sbin/apache2 -k start
1001 29567 0.1 0.3 18140 6896 ? S 19:32 0:07 | _ /usr/bin/php5-cgi
nodomain 29586 0.0 0.3 17984 6512 ? S 19:39 0:00 | _ /usr/bin/php5-cgi
1001 31281 0.1 0.3 18140 6864 ? S 20:19 0:02 | _ /usr/bin/php5-cgi
www-data 29559 0.0 0.1 10096 2784 ? S 19:32 0:00 _ /usr/sbin/apache2 -k start
www-data 29561 0.0 0.1 10096 2824 ? S 19:32 0:00 _ /usr/sbin/apache2 -k start
www-data 29563 0.0 0.1 9964 2768 ? S 19:32 0:00 _ /usr/sbin/apache2 -k start
www-data 29564 0.0 0.1 10104 2800 ? S 19:32 0:00 _ /usr/sbin/apache2 -k start
www-data 29568 0.0 0.1 10096 2912 ? S 19:32 0:00 _ /usr/sbin/apache2 -k start
www-data 29742 0.0 0.1 9964 2736 ? S 20:11 0:00 _ /usr/sbin/apache2 -k start
www-data 31277 0.0 0.1 10096 2788 ? S 20:19 0:00 _ /usr/sbin/apache2 -k start
www-data 31313 0.0 0.1 9964 2440 ? S 20:31 0:00 _ /usr/sbin/apache2 -k start
www-data 31314 0.0 0.1 9964 2128 ? S 20:31 0:00 _ /usr/sbin/apache2 -k start
www-data 31315 0.0 0.0 9964 2008 ? S 20:31 0:00 _ /usr/sbin/apache2 -k start
root 29727 0.0 0.0 1628 612 ? Ss 20:10 0:00 /sbin/syslogd
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 21:03
by daemotron
Die Prozesse und netstat sehen normal aus. Poste doch mal bitte die genaue Ausgabe von nmap.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 21:35
by slayer2205
nmap:
Code: Select all
Not shown: 1676 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
445/tcp filtered microsoft-ds
514/tcp filtered shell
Das Seltsame ist, wie gesagt, der offene Port 21..
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 21:48
by aubergine
netstat -npl
lsof | grep -e LISTEN
Bitte mal die Ausgabe posten.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 21:52
by slayer2205
Code: Select all
mysqld 2441 mysql 13u IPv4 6385 TCP localhost:mysql (LISTEN)
sshd 2747 root 3u IPv6 7097 TCP *:2122 (LISTEN)
apache2 29555 root 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29556 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29559 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29561 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29563 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29564 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29568 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 29742 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 31277 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 31313 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 31314 www-data 3u IPv6 27692 TCP *:www (LISTEN)
apache2 31315 www-data 3u IPv6 27692 TCP *:www (LISTEN)
Nur mal so nebenbei: Danke, dass ihr euch so eine Mühe macht.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 21:59
by aubergine
2 Möglichkeiten:
1. Das System ist gehackt
2. Mit der nmap Ausgabe ist etwas faul
//
Mach am besten mal einen tcp connect mittels telnet von einem anderen Rechner aus:
telnet ip 21
und lokal auf dem server
telnet localhost 21
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 22:05
by slayer2205
Die Verbindung wird jedesmal vom Host (Mein Server) abgebrochen, bzw. von sich selbst aus abgewiesen.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 22:07
by bernsteinkater
Was passiert wenn Du auf Deinen Server auf Port 80 zugreifst (entweder per telnet oder im Browser)? Die meisten Anbieter haben eine Rescuesystem von dem Du aus zB mittels "chkrootkit" oder "rkhunter" Dein System checken kannst. Wenn Dein Anbieter auch ein Rescuesystem anbietet solltest Du das dann ggf. auch mal machen.
Ansonsten auch mal nmap-scans von anderen Rechnern oder anderen Distris aus machen um einen Fehler in nmap auszuschliessen (zB LiveCD wie Knoppix nutzen).
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 22:12
by aubergine
slayer2205 wrote:Die Verbindung wird jedesmal vom Host (Mein Server) abgebrochen, bzw. von sich selbst aus abgewiesen.
Bekommst du ein Connection closed oder ein Connection refused als antwort?
Falls #2 dann ist was an der nmap Ausgabe faul - warum auch immer.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 22:21
by slayer2205
Von einem anderen Rechner aus closed. Von siche selber aus refused
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 22:37
by aubergine
Ich möchte nun jetzt hier nicht mutmaßen inwiefern die Kiste gehackt sein könnte denn Connection closed bedeutet dass da was lauscht.
Daher passe ich an dieser Stelle :)
Re: ftp und rshell bzw. rcp
Posted: 2008-01-23 22:46
by slayer2205
Kann man versuchen, die IP-Pakete mitzuschneiden, um anhand dessen zu erkennen, um was es sich handeln könnte?
Re: ftp und rshell bzw. rcp
Posted: 2008-01-24 14:11
by slayer2205
Jetzt habe ich den Server mal auf eigene Hand komplett neu installiert (Etch minimal) und der Port ist immer noch offen.. Kann das vielleicht mit winscp zusammen hängen?
Re: ftp und rshell bzw. rcp
Posted: 2008-01-24 17:38
by EdRoxter
Was sagt denn netstat -tulpen?
Re: ftp und rshell bzw. rcp
Posted: 2008-01-24 17:46
by slayer2205
Code: Select all
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 102 39022 17074/mysqld
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 9559 2884/exim4
tcp6 0 0 :::80 :::* LISTEN 0 38628 16887/apache2
tcp6 0 0 :::45213 :::* LISTEN 0 6260 2462/sshd
Re: ftp und rshell bzw. rcp
Posted: 2008-01-24 21:06
by daemotron
slayer2205 wrote:nmap:
Code: Select all
Not shown: 1676 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
445/tcp filtered microsoft-ds
514/tcp filtered shell
Das Seltsame ist, wie gesagt, der offene Port 21..
Die beiden letzten Ports werden nur von irgendeinem Router unterwegs gefilter, das hat nichts mit Deinem Server zu tun. Aber mit dem Port 21 stimmt definitiv irgendetwas nicht. Mit welchen Optionen startest Du denn nmap?
@aubergine: Für den offenen Port 21 gibt es noch eine andere Erklärung: Die Route führt durch einen transparenten Proxy für HTTP und FTP. Das sieht dann mit nmap genauso aus...
Re: ftp und rshell bzw. rcp
Posted: 2008-01-25 08:57
by slayer2205
Mit gar keinem - einfach "nmap ...ip..."
Vielleicht hilft das: Der Server steht bei Hetzner und bei tracert ist der letzte Punkt
static.174.43.46.78.clients.your-server.de [...ip...]
Re: ftp und rshell bzw. rcp
Posted: 2008-01-25 17:23
by EdRoxter
slayer2205 wrote:Code: Select all
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 102 39022 17074/mysqld
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 9559 2884/exim4
tcp6 0 0 :::80 :::* LISTEN 0 38628 16887/apache2
tcp6 0 0 :::45213 :::* LISTEN 0 6260 2462/sshd
Port 21 ist auf deinem Server definitiv nicht geöffnet. Also ist es wahrscheinlich, dass jfreund mit seinem letzten Satz recht hat.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-25 18:56
by slayer2205
Dann bin ich beruhigt. Dann hätte ich mir wahrscheinlich die Neuinstallation auch sparen können. Aber egal. Übung macht den Meister :)
Re: ftp und rshell bzw. rcp
Posted: 2008-01-25 21:30
by daemotron
Es liegt definitiv an Deinem lokalen Rechner oder auf der Route von Dir zu Hetzner. Du solltest so etwas bekommen:
Code: Select all
nmap 12.34.56.78
Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-25 20:58 CET
Interesting ports on static.78.56.34.12.clients.your-server.de (12.34.56.78):
Not shown: 1695 closed ports
PORT STATE SERVICE
80/tcp open http
6667/tcp filtered irc
Nmap finished: 1 IP address (1 host up) scanned in 548.733 seconds
Port 6667 wird von Hetzner gefiltert, alles andere muss von Deinem lokalen Netz oder Deinem ISP stammen.
Re: ftp und rshell bzw. rcp
Posted: 2008-01-26 10:29
by slayer2205
Das hatte ich ganz am Anfang auch. Es gab aber noch etwas, das sich microsoft-ds nannte, aber ich denke, das kam ebenfalls von Hetzner.
Danke für eure Hilfe!