Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: beer 25 Července 2012, 02:14:49
-
Pamatuji se, že jsem povoloval jen SSH pomocí UFW, sken přes nmap ukazuje spoustu otevřených portů.
# nmap localhost
Starting Nmap 5.21 ( http://nmap.org ) at 2012-07-25 02:05 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000020s latency).
Not shown: 980 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
79/tcp open finger
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
587/tcp open submission
631/tcp open ipp
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
6667/tcp open irc
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
# ufw status
Status: active
Do Akce Od
-- ---- --
22 ALLOW Anywhere
22 ALLOW Anywhere (v6)
Je to normální?
-
Skenuješ localhost, tam není důvodu, aby FW cokoliv zakazoval, protože je to jen loopback.
-
a hlavne skenujes sam sebe a to je nesmysl ;)
priste prosim klasiku:
lsof -i
netstat -tulnp #### man netstat
-
...
Je to normální?
ufw pomocí iptables povoluje na localhostu všechno (ukázka z iptables -L -v)
Chain ufw-before-input (1 references)
target prot opt in out source destination
ACCEPT all -- lo any anywhere anywhere
Jiná otázka je, proč máš na localhostu otevřeno tolik portů.
a hlavne skenujes sam sebe a to je nesmysl ;)
priste prosim klasiku:
lsof -i
netstat -tulnp #### man netstat
Moc nerozumím rozdílu mezi nmap a lsof/netstat; Red Hat Enterprise Linux 3: Security Guide (http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/s1-server-ports.html) radí přesný opak:
There are two basic approaches for listing the ports that are listening on the network. The less reliable approach is to query the network stack by typing commands such as netstat -an or lsof -i. This method is less reliable since these programs do not connect to the machine from the network, but rather check to see what is running on the system. For this reason, these applications are frequent targets for replacement by attackers. In this way, crackers attempt to cover their tracks if they open unauthorized network ports.
A more reliable way to check which ports are listening on the network is to use a port scanner such as nmap.
The following command issued from the console determines which ports are listening for TCP connections from the network:
nmap -sT -O localhost
-
zkus zvazit, jestli opravdu nutne potrebujes tolik sitovych sluzeb
prebytecne povypinej, pak nebudes mit zbytecne otevrene porty
-
Co vidím, tak tam běží i SMTP a IMAP - co to je za stroj? Nějaký server?
-
je to stolní pc, nainstaloval jsem si mailutils, ale nevyužívám to. Možnà jsem instaloval ještě něco, zřejmě sendmail.
-
Jak psal NTZ → sudo netstat -tulnp
-
Jak psal NTZ → sudo netstat -tulnp
Jak se dostanu k tomuto pc, dám výpis. Je tam nainstalované ještě samba/cifs, ssh server a NFS, to by nějaké porty mohlo vysvětlit.
-
Jak psal NTZ → sudo netstat -tulnp
Jak se dostanu k tomuto pc, dám výpis. Je tam nainstalované ještě samba/cifs, ssh server a NFS, to by nějaké porty mohlo vysvětlit.
root@medved-ubuntu:~# netstat -tulnp
Aktivní Internetová spojení (pouze servery)
Proto Přích-F Odch-F Místní Adresa Vzdálená Adresa Stav PID/Program name
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1553/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1204/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1284/cupsd
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 1410/tor
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 2168/dropbox
tcp 0 0 0.0.0.0:37441 0.0.0.0:* LISTEN 2129/skype
tcp6 0 0 :::22 :::* LISTEN 1204/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1284/cupsd
udp 0 0 127.0.0.1:53 0.0.0.0:* 1553/dnsmasq
udp 0 0 0.0.0.0:68 0.0.0.0:* 1330/dhclient
udp 0 0 10.0.0.3:123 0.0.0.0:* 2425/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2425/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 2425/ntpd
udp 0 0 0.0.0.0:33246 0.0.0.0:* 1262/avahi-daemon:
udp 0 0 0.0.0.0:37441 0.0.0.0:* 2129/skype
udp 0 0 127.0.0.1:39695 0.0.0.0:* 2129/skype
udp 0 0 0.0.0.0:17500 0.0.0.0:* 2168/dropbox
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1262/avahi-daemon:
udp6 0 0 ::1:123 :::* 2425/ntpd
udp6 0 0 fe80::7ceb:d6ff:fe5:123 :::* 2425/ntpd
udp6 0 0 :::123 :::* 2425/ntpd
udp6 0 0 :::43439 :::* 1262/avahi-daemon:
udp6 0 0 :::5353 :::* 1262/avahi-daemon:
-
Hm, to je hodně zvláštní, protože podle tohoto výpisu to vypadá, že třeba na (údajně otevřeném) portu 25 nic neposlouchá.
Zajímal by mne výsledek
telnet localhost 25
A také, zda existuje soubor /etc/inetd.conf resp. /etc/xinetd.conf a případně jeho obsah.
-
Nějak jsem zapomněl na toto téma, tak bych se k němu rád vrátil :), zde jsou výpisy, co jsem slíbil dodat:
root@localhost:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rpcbind 922 root 6u IPv4 6953 0t0 UDP *:sunrpc
rpcbind 922 root 7u IPv4 6954 0t0 UDP *:665
rpcbind 922 root 8u IPv4 6955 0t0 TCP *:sunrpc (LISTEN)
rpcbind 922 root 9u IPv6 6956 0t0 UDP *:sunrpc
rpcbind 922 root 10u IPv6 6957 0t0 UDP *:665
rpcbind 922 root 11u IPv6 6958 0t0 TCP *:sunrpc (LISTEN)
cupsd 1308 root 8u IPv6 35239 0t0 TCP ip6-localhost:ipp (LISTEN)
cupsd 1308 root 9u IPv4 35240 0t0 TCP localhost:ipp (LISTEN)
avahi-dae 1313 avahi 12u IPv4 8838 0t0 UDP *:mdns
avahi-dae 1313 avahi 13u IPv6 8839 0t0 UDP *:mdns
avahi-dae 1313 avahi 14u IPv4 8841 0t0 UDP *:59039
avahi-dae 1313 avahi 15u IPv6 8842 0t0 UDP *:55671
rpc.statd 1349 statd 5r IPv4 9468 0t0 UDP localhost:677
rpc.statd 1349 statd 8u IPv4 9475 0t0 UDP *:50188
rpc.statd 1349 statd 9u IPv4 9479 0t0 TCP *:60722 (LISTEN)
rpc.statd 1349 statd 10u IPv6 9482 0t0 UDP *:49310
rpc.statd 1349 statd 11u IPv6 9485 0t0 TCP *:43507 (LISTEN)
miredo 1475 miredo 8u IPv4 9680 0t0 UDP *:52050
rpc.mount 1545 root 8u IPv4 10417 0t0 UDP *:39124
rpc.mount 1545 root 9u IPv4 10420 0t0 TCP *:44433 (LISTEN)
rpc.mount 1545 root 10u IPv6 10423 0t0 UDP *:38776
rpc.mount 1545 root 11u IPv6 10426 0t0 TCP *:46150 (LISTEN)
rpc.mount 1545 root 12u IPv4 10429 0t0 UDP *:37366
rpc.mount 1545 root 13u IPv4 10432 0t0 TCP *:58834 (LISTEN)
rpc.mount 1545 root 14u IPv6 10435 0t0 UDP *:60666
rpc.mount 1545 root 15u IPv6 10438 0t0 TCP *:37278 (LISTEN)
rpc.mount 1545 root 16u IPv4 10441 0t0 UDP *:46784
rpc.mount 1545 root 17u IPv4 10444 0t0 TCP *:51770 (LISTEN)
rpc.mount 1545 root 18u IPv6 10447 0t0 UDP *:47624
rpc.mount 1545 root 19u IPv6 10450 0t0 TCP *:48079 (LISTEN)
tor 1573 debian-tor 7u IPv4 10486 0t0 TCP localhost:9050 (LISTEN)
edge 1856 root 4u IPv4 9770 0t0 UDP *:42882
edge 2686 root 4u IPv4 16520 0t0 UDP *:55524
dropbox 3862 medved 9u IPv4 164465 0t0 TCP linux.local:38464->v-client-5b.sjc.dropbox.com:https (CLOSE_WAIT)
dropbox 3862 medved 20u IPv4 40551 0t0 TCP linux.local:47308->v-d-2b.sjc.dropbox.com:https (CLOSE_WAIT)
dropbox 3862 medved 22u IPv4 39567 0t0 TCP linux.local:43284->ec2-50-17-243-153.compute-1.amazonaws.com:https (CLOSE_WAIT)
dropbox 3862 medved 26u IPv4 40566 0t0 UDP *:17500
dropbox 3862 medved 29u IPv4 40569 0t0 TCP *:17500 (LISTEN)
dropbox 3862 medved 30u IPv4 40660 0t0 TCP linux.local:60561->sjc-not19.sjc.dropbox.com:http (ESTABLISHED)
dropbox 3862 medved 36u IPv4 40583 0t0 TCP linux.local:32778->v-client-4a.sjc.dropbox.com:https (CLOSE_WAIT)
ubuntu-ge 4043 medved 7u IPv4 39342 0t0 TCP linux.local:60035->mistletoe.canonical.com:http (CLOSE_WAIT)
dnsmasq 4337 nobody 4w IPv4 35924 0t0 UDP localhost:domain
dnsmasq 4337 nobody 5u IPv4 35925 0t0 TCP localhost:domain (LISTEN)
ntpd 4940 ntp 16u IPv4 39495 0t0 UDP *:ntp
ntpd 4940 ntp 17u IPv6 39496 0t0 UDP *:ntp
ntpd 4940 ntp 18u IPv4 39502 0t0 UDP localhost:ntp
ntpd 4940 ntp 19u IPv4 39503 0t0 UDP linux.local:ntp
ntpd 4940 ntp 20u IPv4 39504 0t0 UDP linux.local:ntp
ntpd 4940 ntp 21u IPv4 39505 0t0 UDP linux.local:ntp
ntpd 4940 ntp 22u IPv6 39506 0t0 UDP [fe80::f89d:1ff:fedc:b493]:ntp
ntpd 4940 ntp 23u IPv6 39507 0t0 UDP [fe80::b2:caff:fe1a:fdc7]:ntp
ntpd 4940 ntp 24u IPv6 39508 0t0 UDP [fe80::64b:80ff:fe80:8003]:ntp
ntpd 4940 ntp 25u IPv6 39509 0t0 UDP ip6-localhost:ntp
ntpd 4940 ntp 28u IPv6 43982 0t0 UDP [2001:0:d91f:cca0:44c:34ad:aab9:f816]:ntp
sshd 8079 root 3r IPv4 274878 0t0 TCP *:ssh (LISTEN)
sshd 8079 root 4u IPv6 274880 0t0 TCP *:ssh (LISTEN)
ssh 8093 medved 3r IPv4 275428 0t0 TCP localhost:50322->localhost:ssh (ESTABLISHED)
sshd 8094 root 3r IPv4 275429 0t0 TCP localhost:ssh->localhost:50322 (ESTABLISHED)
sshd 8275 medved 3u IPv4 275429 0t0 TCP localhost:ssh->localhost:50322 (ESTABLISHED)
chrome 8400 medved 75u IPv4 278500 0t0 TCP linux.local:50094->173.194.35.87:https (ESTABLISHED)
chrome 8400 medved 76u IPv4 278501 0t0 TCP linux.local:50095->173.194.35.87:https (ESTABLISHED)
chrome 8400 medved 78u IPv4 278503 0t0 TCP linux.local:50097->173.194.35.87:https (ESTABLISHED)
chrome 8400 medved 79u IPv4 278504 0t0 TCP linux.local:50098->173.194.35.87:https (ESTABLISHED)
chrome 8400 medved 80u IPv4 278505 0t0 TCP linux.local:50099->173.194.35.87:https (ESTABLISHED)
chrome 8400 medved 86u IPv4 279658 0t0 TCP linux.local:56321->fa-in-f95.1e100.net:https (ESTABLISHED)
chrome 8400 medved 87u IPv4 279665 0t0 TCP linux.local:58847->bud01s13-in-f5.1e100.net:https (ESTABLISHED)
chrome 8400 medved 98u IPv4 279778 0t0 TCP linux.local:54965->fa-in-f125.1e100.net:xmpp-client (ESTABLISHED)
root@localhost:~# netstat -tulnp
Aktivní Internetová spojení (pouze servery)
Proto Přích-F Odch-F Místní Adresa Vzdálená Adresa Stav PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 922/rpcbind
tcp 0 0 0.0.0.0:44433 0.0.0.0:* LISTEN 1545/rpc.mountd
tcp 0 0 0.0.0.0:58834 0.0.0.0:* LISTEN 1545/rpc.mountd
tcp 0 0 0.0.0.0:60722 0.0.0.0:* LISTEN 1349/rpc.statd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 4337/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 8079/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1308/cupsd
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 1573/tor
tcp 0 0 0.0.0.0:51770 0.0.0.0:* LISTEN 1545/rpc.mountd
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 3862/dropbox
tcp 0 0 0.0.0.0:37632 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp6 0 0 :::60362 :::* LISTEN -
tcp6 0 0 :::48079 :::* LISTEN 1545/rpc.mountd
tcp6 0 0 :::111 :::* LISTEN 922/rpcbind
tcp6 0 0 :::43507 :::* LISTEN 1349/rpc.statd
tcp6 0 0 :::22 :::* LISTEN 8079/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1308/cupsd
tcp6 0 0 :::37278 :::* LISTEN 1545/rpc.mountd
tcp6 0 0 :::2049 :::* LISTEN -
tcp6 0 0 :::46150 :::* LISTEN 1545/rpc.mountd
udp 0 0 0.0.0.0:42882 0.0.0.0:* 1856/edge
udp 0 0 0.0.0.0:2049 0.0.0.0:* -
udp 0 0 127.0.0.1:53 0.0.0.0:* 4337/dnsmasq
udp 0 0 0.0.0.0:53346 0.0.0.0:* -
udp 0 0 0.0.0.0:111 0.0.0.0:* 922/rpcbind
udp 0 0 10.3.3.1:123 0.0.0.0:* 4940/ntpd
udp 0 0 10.2.2.1:123 0.0.0.0:* 4940/ntpd
udp 0 0 10.0.0.1:123 0.0.0.0:* 4940/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 4940/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 4940/ntpd
udp 0 0 0.0.0.0:39124 0.0.0.0:* 1545/rpc.mountd
udp 0 0 0.0.0.0:55524 0.0.0.0:* 2686/edge
udp 0 0 0.0.0.0:37366 0.0.0.0:* 1545/rpc.mountd
udp 0 0 0.0.0.0:665 0.0.0.0:* 922/rpcbind
udp 0 0 127.0.0.1:677 0.0.0.0:* 1349/rpc.statd
udp 0 0 0.0.0.0:52050 0.0.0.0:* 1475/miredo
udp 0 0 0.0.0.0:50188 0.0.0.0:* 1349/rpc.statd
udp 0 0 0.0.0.0:17500 0.0.0.0:* 3862/dropbox
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1313/avahi-daemon:
udp 0 0 0.0.0.0:59039 0.0.0.0:* 1313/avahi-daemon:
udp 0 0 0.0.0.0:46784 0.0.0.0:* 1545/rpc.mountd
udp6 0 0 :::38776 :::* 1545/rpc.mountd
udp6 0 0 :::49133 :::* -
udp6 0 0 :::2049 :::* -
udp6 0 0 :::111 :::* 922/rpcbind
udp6 0 0 2001:0:d91f:cca0:44:123 :::* 4940/ntpd
udp6 0 0 fe80::ffff:ffff:fff:123 :::* 4940/ntpd
udp6 0 0 ::1:123 :::* 4940/ntpd
udp6 0 0 fe80::64b:80ff:fe80:123 :::* 4940/ntpd
udp6 0 0 fe80::b2:caff:fe1a::123 :::* 4940/ntpd
udp6 0 0 fe80::f89d:1ff:fedc:123 :::* 4940/ntpd
udp6 0 0 :::123 :::* 4940/ntpd
udp6 0 0 :::49310 :::* 1349/rpc.statd
udp6 0 0 :::55671 :::* 1313/avahi-daemon:
udp6 0 0 :::47624 :::* 1545/rpc.mountd
udp6 0 0 :::665 :::* 922/rpcbind
udp6 0 0 :::5353 :::* 1313/avahi-daemon:
udp6 0 0 :::60666 :::* 1545/rpc.mountd
root@localhost:~# cat /etc/inetd.conf
cat: /etc/inetd.conf: Adresář nebo soubor neexistuje
root@localhost:~# cat /etc/xinetd.conf
cat: /etc/xinetd.conf: Adresář nebo soubor neexistuje
root@localhost:~# telnet localhost 25
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused