Offene Ports auf Strato V-Power Server ohne Plesk

[mradlmaier]

Hallo,

Ich habe mir kuerzlich eine V-Power Server bei Strato eingerichtet. Mit openSUSE 11.1, ohne Plesk, ohne Controlpanel, ohne Webserver, ohne Mailserver (nur sendmail), ganz nackig, nur openSUSE. Nun habe ichn mit nmap mal meine ports gescannt, mit folgendem Ergebnis:

PORT STATE SERVICE VERSION
22/tcp open ssh?
25/tcp open smtp?
80/tcp open http?
|_ HTML title: Site doesn't have a title.
443/tcp open https?
|_ HTML title: Site doesn't have a title.

Nun sehe ich das da 25 und 80/443 offen sind, ich habe aber, wie gesagt keinen Web- oder Mailserver installiert.
Andererseits habe den Strato Security Scan durchgefuehrt (Intensive Scan) und der zeigt nur den 22 ssh als offen an.

Jetzt weiss ich nicht wie ich das zu beurteilen habe? Wem soll ich da trauen, nmap oder Strato?
Und wenn nmap richtig ist, wie kommt`s dass da 80/443 offen ist ohne dass ein webserver installiert ist?

Ausserdem habe ich die SUSE Firewall laufen und da ist nur ssh erlaubt.

Kann mich jemand erleuchten?

Gruesse,
Michael

[daemotron]

Hallo,

Ich habe mir kuerzlich eine V-Power Server bei Strato eingerichtet. Mit openSUSE 11.1, ohne Plesk, ohne Controlpanel, ohne Webserver, ohne Mailserver (nur sendmail), ganz nackig, nur openSUSE. Nun habe ichn mit nmap mal meine ports gescannt, mit folgendem Ergebnis:

PORT STATE SERVICE VERSION
22/tcp open ssh?
25/tcp open smtp?
80/tcp open http?
|_ HTML title: Site doesn't have a title.
443/tcp open https?
|_ HTML title: Site doesn't have a title.

Nun sehe ich das da 25 und 80/443 offen sind, ich habe aber, wie gesagt keinen Web- oder Mailserver installiert.
Andererseits habe den Strato Security Scan durchgefuehrt (Intensive Scan) und der zeigt nur den 22 ssh als offen an.

Mit welchen Parametern hast Du nmap gestartet? Sitzt Du hinter einem Proxy?

Jetzt weiss ich nicht wie ich das zu beurteilen habe? Wem soll ich da trauen, nmap oder Strato?
Und wenn nmap richtig ist, wie kommt`s dass da 80/443 offen ist ohne dass ein webserver installiert ist?

Weder noch. Schau doch einfach mit netstat -tulpen nach, welche Dienste tatsächlich am externen NIC lauschen.

Ausserdem habe ich die SUSE Firewall laufen und da ist nur ssh erlaubt.

Überflüssiger Quark. Den Zugriff auf geschlossene Ports braucht man nicht auch noch mit einem Paket-Dropper blockieren.

[daemotron]

Schald diese ab und die anderen Ports sind zu!

Die Regeln der Firewall werden schon mal voreingestellt und was meinst Du, wer zumindest mal auf die jeweiligen Ports min. reagiert?

Richtig die Firewall.

<nitpick>
Wenn es der SuSE Paket-Dropper wäre, müsste nmap eigentlich den Status "Filtered" melden, und nicht "Open" - insofern schon etwas merkwürdig. Abschalten sollte der OP das Ding aber trotzdem
</nitpick>

[Joe User]

Ich setze ein virtuelles Bier auf eine schlecht konfigurierte Firewall/Portfilter oder Proxy zwischen PC und Server... (billiger DSL-Router oder gar Malware auf dem PC?)

[mradlmaier]

Ich setze ein virtuelles Bier auf eine schlecht konfigurierte Firewall/Portfilter oder Proxy zwischen PC und Server... (billiger DSL-Router oder gar Malware auf dem PC?)

Mein PC ist ein Labtop, mit openSUSE 11 und ohne DSL. Kann mir nicht vorstellen wo ich malware herhaben sollte.....Deswegen nutze ich ja kein Windows :)

[mradlmaier]

<nitpick>
Wenn es der SuSE Paket-Dropper wäre, müsste nmap eigentlich den Status "Filtered" melden, und nicht "Open" - insofern schon etwas merkwürdig. Abschalten sollte der OP das Ding aber trotzdem
</nitpick>

Da hast Du recht und Ich verweise sofort noch auf Apparmor.
Vor dem Ärger stand ich durchaus auch schon. Apparmor deinstallieren.

Ich hatte mich auch gewundert warum auf einem frisch instalierten Host, Dienste laufen würden welche dort noch gar nicht instaliert waren.

Auf dem VPS ist kein Apparmor installiert, nur auf meinem lokalen Labtop? Wieso sollte das eine Rolle spielen? Weil nmap von meinem Labtop aus exekutiere?

[Joe User]

Ich setze ein virtuelles Bier auf eine schlecht konfigurierte Firewall/Portfilter oder Proxy zwischen PC und Server... (billiger DSL-Router oder gar Malware auf dem PC?)

Mein PC ist ein Labtop, mit openSUSE 11 und ohne DSL. Kann mir nicht vorstellen wo ich malware herhaben sollte.....Deswegen nutze ich ja kein Windows :)

Autsch! Linux Distros sind genauso unsicher wie Windows und (fast) jedes andere OS...

[Roger Wilco]

Ohne sich jetzt auf irgendwelche Theorien bzgl. der Ausgabe von nmap und deren Ursache zu versteifen, würde ich ausschließlich der Ausgabe von netstat auf dem betroffenen System glauben. Das was nmap und andere Portscanner machen ist im Prinzip nur (i. d. R. sehr präzises) Raten.

[mradlmaier]

Auf dem VPS ist kein Apparmor installiert, nur auf meinem lokalen Labtop? Wieso sollte das eine Rolle spielen? Weil nmap von meinem Labtop aus exekutiere?

Kann durchaus die Ursache dafür sein schmeiss es runter. Instalieren kannst Du es hinterher immer noch erneut.
Apparmor und die Opensuse Firewall funken in Kombinationen und zum "Schutz" der Anwender in dei Netzwerkkomunikation.

Der Schutz ist berechtig zweifelhaft aber naja..

Fuer was brauche ich den AppArmor eigentlich auf meinem Labtop? Habe den noch nie angefasst? Habe den, weil opeSUSE den automatisch mitinstalliert.

[mradlmaier]

BTW.

Ich prüfe soetwas alternativ mit netstat.
Schönerweise bekommt man im Falle des Falles auch den Protokoll Header mit, damit man etwas besser abschätzen kann, welcher Dienst darauf hört.

netstat -a liefert folgendes:
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:smtp *:* LISTEN
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:mysql localhost:54935 TIME_WAIT
tcp 0 0 localhost:mysql localhost:54934 TIME_WAIT
tcp 0 0 localhost:mysql localhost:54933 TIME_WAIT
tcp 0 0 localhost:mysql localhost:54932 TIME_WAIT
tcp 0 0 localhost:mysql localhost:54937 TIME_WAIT
tcp 0 0 localhost:mysql localhost:54936 TIME_WAIT
tcp 0 0 h1603440.stratoserv:ssh 88.128.74.176:20614 VERBUNDEN
tcp 0 0 h1603440.stratoserv:ssh 116.231.46.222:pdnet VERBUNDEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:49608 localhost:49066 TIME_WAIT
Aktive Sockets in der UNIX Domäne (Server und stehende Verbindungen)
Proto RefZäh Flaggen Typ Zustand I-Node Pfad
unix 2 [ ACC ] STREAM HÖRT 13307723 /var/run/dbus/system_bus_socket
unix 2 [ ] DGRAM 13308527 /var/lib/named/dev/log
unix 2 [ ACC ] STREAM HÖRT 13307753 @/var/run/hald/dbus-Kdc23MhmEi
unix 2 [ ACC ] STREAM HÖRT 13308639 /var/run/sendmail/control
unix 5 [ ] DGRAM 13308525 /dev/log
unix 2 [ ] DGRAM 13307204 @/org/kernel/udev/udevd
unix 2 [ ] DGRAM 13307826 @/org/freedesktop/hal/udev_event
unix 2 [ ACC ] STREAM HÖRT 15576351 /tmp/ssh-hFZBy17579/agent.17579
unix 2 [ ACC ] STREAM HÖRT 13307736 @/var/run/hald/dbus-VWUGi1Gxnx
unix 2 [ ACC ] STREAM HÖRT 15755080 /tmp/mysql.sock
unix 2 [ ] DGRAM 13308844
unix 2 [ ] DGRAM 13308826
unix 2 [ ] DGRAM 13308622
unix 3 [ ] STREAM VERBUNDEN 13307759 @/var/run/hald/dbus-Kdc23MhmEi
unix 3 [ ] STREAM VERBUNDEN 13307758
unix 3 [ ] STREAM VERBUNDEN 13307752 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 13307750
unix 3 [ ] STREAM VERBUNDEN 13307738 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 13307737
unix 3 [ ] STREAM VERBUNDEN 13307726
unix 3 [ ] STREAM VERBUNDEN 13307725

wieso steht da jetzt:
tcp 0 0 localhost:mysql localhost:54935 TIME_WAIT
Ich habe laut yast kein mysql installiert?

[gierig]

Code: Select all

tcp 0 0 *:mysql *:* LISTEN

sagt das da was auf den Port Lauscht. Ob es mysql ist oder eine andere anwednung sei mal dahingestellt.
(mysql ist na einfach nur der Bezeichner aus der /etc/services der dem Port beschrieben soll)
Da ist aber was..

Code: Select all

tcp 0 0 localhost:mysql localhost:54935 TIME_WAIT

Das sind Verbindungen die noch nicht zu stande gekommen sind.
Es versucht irgentwas lokales auf den Port zuzugreifen.

Code: Select all

tcp 0 0 h1603440.stratoserv:ssh 116.231.46.222:pdnet VERBUNDEN

Wenn du die Adresse nicht Veränderst hast, hast du besuch aus Shanghei.
Ich hoffe er ist eingeladen, ansosnten hast du ein Problem.

Vermutung. Du wurdest bereits übernommen.

[daemotron]

Code: Select all

tcp 0 0 h1603440.stratoserv:ssh 116.231.46.222:pdnet VERBUNDEN

Wenn du die Adresse nicht Veränderst hast, hast du besuch aus Shanghei.
Ich hoffe er ist eingeladen, ansosnten hast du ein Problem.

Vermutung. Du wurdest bereits übernommen.

Na na, das würde ich aus diesen Daten nicht herauslesen. Die Zeile bedeutet nur, dass eine TCP-Verbindung von 116.231.46.222 zu Port 22 besteht - sie sagt aber nichts darüber aus, ob der lokale SSHd auch eine Session für diese Verbindung gestartet hat. Feiner, aber entscheidender Unterschied: die Verbindung kommt zustande, bevor man sich authentifiziert. Die Sitzung wird vom sshd erst nach erfolgreicher Authentifizierung gestartet. Könnte also auch ein harmloser brute force sein, wie er bei mir täglich mehrere hundert Male auftritt.

[gierig]

Mhhh mal kräftig am Kopf kratzen.
Ja du hast recht, da hab ich voreilig geschossen.

[mradlmaier]

Code: Select all

tcp 0 0 *:mysql *:* LISTEN

sagt das da was auf den Port Lauscht. Ob es mysql ist oder eine andere anwednung sei mal dahingestellt.
(mysql ist na einfach nur der Bezeichner aus der /etc/services der dem Port beschrieben soll)
Da ist aber was..

Code: Select all

tcp 0 0 localhost:mysql localhost:54935 TIME_WAIT

Das sind Verbindungen die noch nicht zu stande gekommen sind.
Es versucht irgentwas lokales auf den Port zuzugreifen.

Code: Select all

tcp 0 0 h1603440.stratoserv:ssh 116.231.46.222:pdnet VERBUNDEN

Wenn du die Adresse nicht Veränderst hast, hast du besuch aus Shanghei.
Ich hoffe er ist eingeladen, ansosnten hast du ein Problem.

Vermutung. Du wurdest bereits übernommen.

Der Besuch aus Shanghai ist eingeladen. Entwarnung. Das mit mysql ist auch o.k., das hat mein Shanghaier Kollege gemacht. Der hat mich gerade darueber informiert.

Trotzdem Danke fuer die klare Erklaerung, was die einzelnen Zeilen bedeuten. :-D

Michael