Merkwürdiger Port offen

[agamemnon]

Hallo zusammen,

ich habe da mal eine - vielleicht ganz dumme - Frage. Ich habe zwar einen VServer bei Server4Free, aber ich habe womöglich Grund, besser hier zu fragen, außerdem gefallen mir der Ton und die Kompetenz einiger Schreiber hier gut. Falls Ihr hier nix von Server4Free-"Kunden" lesen wollt, reicht eine kurze Mitteilung.

Hier also meine dumme Frage:

Der Server läuft mit Red Hat Linux 7.3 und Confixx light (Ich wollte es nur mal ansehen und deinstalliere es wieder).

Folgendes habe ich bisher seit dem Auslieferungszustand getan:
a) RedHat - up2date installiert
b) den Server damit über das Red Hat Network auf den neuesten Stand gebracht (vor allem Sicherheitsupdates)
c) MySQL auf lokalen Zugriff beschränkt
d) Webmin und Usermin installiert
e) Webmin und Usermin-Module aktualisiert
f) Sicherheits-Update für SSL gemacht
g) Webmin und Usermin für SSL eingerichtet
h) Mit Confixx ein paar User-Accounts anglegt
i) Ã?berprüft, daß ich kein offenes Relay betreibe
j) Eine index.html pro Account eingerichtet
k) Troll 0.8 zur Notfall-Abriegelung des Traffics installiert

Mehr habe ich mich bis jetzt nicht getraut, weil die Kiste immer wieder längere Zeit down ist - etwas Ernsthaftes kann man damit ja gar nicht machen.

Nun habe ich mal von zu Hause einen Port-Scan gemacht, um zu sehen, ob auch alles zu ist, was nicht offen sein soll.
Folgende Ports (TCP) müßten meinem Plan nach momentan offen sein: 21, 22, 25, 80, 110, 443, 10000 und 20000

Nun sind aber diese Ports, und außerdem noch 81, 82, 83 und 119 offen. Zu den drei ersteren kann ich im Moment nicht viel sagen, vielleicht fällt Euch dazu etwas ein, aber 119? NNTP?!

Bei mir läuft nix, was News betrifft.

ps -A sagt:

Code: Select all

  PID TTY          TIME CMD
    1 ?        00:00:00 init
 6871 ?        00:00:00 syslogd
 6889 ?        00:00:00 sshd
 6913 ?        00:00:00 xinetd
 6938 ?        00:00:00 safe_mysqld
 6978 ?        00:00:00 mysqld
 6982 ?        00:00:00 mysqld
 6983 ?        00:00:00 mysqld
 6992 ?        00:00:00 mysqld
 6997 ?        00:00:02 sendmail
 7027 ?        00:00:00 httpd
 7032 ?        00:00:00 pipelog.pl
 7033 ?        00:00:00 httpd
 7036 ?        00:00:00 httpd
 7054 ?        00:00:01 crond
 7243 ?        00:00:00 miniserv.pl
 7330 ?        00:00:00 miniserv.pl
 8905 ?        00:00:01 sshd
 8917 pts/0    00:00:00 bash
 3354 pts/0    00:00:00 ps

Ich sehe da nichts was den Port 119 verwenden sollte. Ihr?

Beste Grüße

[zero]

Hallo,


Poste doch bitte mal die Ausgabe von netstat -a

Danke
Gruß Zero

[captaincrunch]

Oder noch besser netstat -pn

[zero]

;-)

[dspeicher]

port 119 ist doch imho nen newsserver oder täusche ich mich da? *nachguck* und der widerum sollte über xinetd gestartet sein... sag ich mal einfach so :lol:

[agamemnon]

@DSpeicher:

und der widerum sollte über xinetd gestartet sein...

Ja, nur wenn ich das richtig verstanden habe, schmeißt der den doch nicht einfach so an und läßt dann den Port ewig offen (jetzt immer noch)? Was übersehe ich?

@Zero & CaptainCrunch:

Poste doch bitte mal die Ausgabe von netstat -a

Oder noch besser netstat -pn

Würde ich gerne. Ein paar Minuten nachdem ich das Eingangsposting geschrieben habe, ging der Server leider plötzlich ganz vom Netz, nicht mal mehr ein Ping beantwortete er mehr. Inzwischen ist er zwar wieder pingbar und auch der Port ist wieder offen, ich komme aber nicht rein, Mail und WWW gehen auch nicht.

Erfahrungsgemäß hilft da nur warten, irgendwann erholtsich wieder. [Off Topic]Das ist schon das dritte Mal heute, und es hat jedes Mal über eine Stunde gedauert, bis ich wieder Zugriff hatte.[/Off Topic]

Beste Grüße

[agamemnon]

So, ich habe wieder Zugriff :?

also:

netstat -pn

Code: Select all

[Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0    240 62.75.146.157:22        145.254.123.167:3775    ESTABLISHED 9354/sshd           
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  6      [ ]         DGRAM                    387989582 8467/syslogd        /dev/log
unix  2      [ ]         DGRAM                    388016679 8937/perl           
unix  2      [ ]         DGRAM                    387994549 8665/crond          
unix  2      [ ]         DGRAM                    387994463 8602/sendmail: acce 
unix  2      [ ]         DGRAM                    387994328 8511/xinetd

netstat -a

Code: Select all

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:20000                 *:*                     LISTEN      
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN      
tcp        0      0 *:pop3                  *:*                     LISTEN      
tcp        0      0 *:10000                 *:*                     LISTEN      
tcp        0      0 *:http                  *:*                     LISTEN      
tcp        0      0 *:ftp                   *:*                     LISTEN      
tcp        0      0 *:ssh                   *:*                     LISTEN      
tcp        0      0 *:smtp                  *:*                     LISTEN      
tcp        0      0 *:https                 *:*                     LISTEN      
tcp        0    864 146157.vserver.de:ssh   dialin-145-254-123:3775 ESTABLISHED 
udp        0      0 *:10000                 *:*                                 
udp        0      0 *:20000                 *:*                                 
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  6      [ ]         DGRAM                    387989582 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     387994457 /var/lib/mysql/mysql.sock
unix  2      [ ]         DGRAM                    388016679 
unix  2      [ ]         DGRAM                    387994549 
unix  2      [ ]         DGRAM                    387994463 
unix  2      [ ]         DGRAM                    387994328 

Hm da sind auch noch 1080 (Socks), 5190 (AOL) und 8080 (Proxy) offen, ich hatte vorhin nur die Ports bis 800 gescannt.

Ich müßte doch eigentlich in der xinetd.conf alles explizit abklemmen können, was ich nicht möchte, richtig?

Beste Grüße

[agamemnon]

Hm, hallo?

Seht Ihr was, was ich nicht sehe, oder seid Ihr auch ratlos?

Grüße

[paulchen]

also da iss nix anderes offen...habe Deine Moehre (wenn die IP 62.75.146.157 korrekt war ???) mal gescannt und folgendes Ergebnis erhalten:

Code: Select all

Starting nmap V. 3.15BETA2 ( www.insecure.org/nmap/ )
Interesting ports on 146157.vserver.de (62.75.146.157):
(The 1149 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
110/tcp    open        pop-3
443/tcp    open        https
3306/tcp   filtered    mysql
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 4.565 days (since Sun Mar  9 22:08:57 2003)

Nmap run completed -- 1 IP address (1 host up) scanned in 6.711 seconds

Paulchen

[agamemnon]

Nanu, danke Dir, stimmt, jetzt ist alles schön zu. webmin und usermin habe ich auch gestoppt, die starte ich nur wenn ich mal wo bin, wo ich keinen SSH-Zugang bekomme. Hab sie eben noch mal gestartet um zu vergleichen, aber auch dann war alles schön zu.

Hm, jetzt komme ich aber wirklich ins Grübeln... das ist doch äußerst mysteriös.

Da ist übrigens auch ein Port 1434 filtered ms-sql-m, den hast du sicher nicht mitgescannt. Microsoft SQL Monitor??? Jetzt weiß ich was mit den Kisten los ist *lol*

Beste Grüße und Danke
Agamemnon

[paulchen]

hmm...also 1434 finde ich nicht...
Du musst daran denken, dass alle Ports ab 1025 vom System dynamisch zur Datenkommunikation genutzt werden koennen...deswegen kann immer mal nen anderer Port "offen" sein...weil halt gerade benutzt...

Paulchen

[agamemnon]

@Paulchen

hmm...also 1434 finde ich nicht...
Du musst daran denken, dass alle Ports ab 1025 vom System dynamisch zur Datenkommunikation genutzt werden koennen...deswegen kann immer mal nen anderer Port "offen" sein...weil halt gerade benutzt...

Ist ja witzig... mit

Code: Select all

nmap -sS -p 1-4000 127.0.0.1

auf dem VServer bekomme ich das gleiche Ergebnis wie Du. (inzwischen Ã?nderung: jetzt auch FTP abgeschaltet und POP3 mit SSL)

Vom Testsystem aus, das ich zu Hause eingerichtet habe, um Ã?nderungen auf dem VServer vorher abzuchecken, bekomme ich allerdings mit

Code: Select all

nmap -sT -p 1-4000 62.75.146.157

weiterhin den zusätzlichen Port angezeigt, und zwar wirklich dauerhaft. Hm, vielleicht stimmt etwas auf meinem Testsystem nicht.

Bei Dir ist ganz sicher kein Packetfilter am Werk?

Beste Grüße

[paulchen]

nein...kein Filter bei mir !

Paulchen

[agamemnon]

Ok, danke Dir.

Ich habe das inzwischen auch selbst von verschiedenen Rechnern und verschiedenen Netzen aus geprüft und prüfen lassen, es scheint wirklich ein Fehler auf meinem System vor zu liegen. Wirklich interessant, ich hätte nicht damit gerechnet daß eine solche Abweichung überhaupt möglich ist. Man lernt nie aus. :?

Beste Grüße
Agamenmon