Podezřelé otevřené porty, které nejsou vidět ve firewallu

[beer]

Pamatuji se, že jsem povoloval jen SSH pomocí UFW, sken přes nmap ukazuje spoustu otevřených portů.

Kód: [Vybrat]

# nmap localhost

Starting Nmap 5.21 ( http://nmap.org ) at 2012-07-25 02:05 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000020s latency).
Not shown: 980 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
25/tcp    open  smtp
53/tcp    open  domain
79/tcp    open  finger
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
587/tcp   open  submission
631/tcp   open  ipp
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Kód: [Vybrat]

# ufw status
Status: active

Do                         Akce        Od
--                         ----        --
22                         ALLOW       Anywhere
22                         ALLOW       Anywhere (v6)
Je to normální?

[Petr Merlin Vaněček]

Skenuješ localhost, tam není důvodu, aby FW cokoliv zakazoval, protože je to jen loopback.

[ntz_reloaded]

a hlavne skenujes sam sebe a to je nesmysl

priste prosim klasiku:

lsof -i
netstat -tulnp #### man netstat

[daysleeper]

...
Je to normální?

ufw pomocí iptables povoluje na localhostu všechno (ukázka z iptables -L -v)

Kód: [Vybrat]

Chain ufw-before-input (1 references)
target     prot opt in     out     source               destination         
ACCEPT     all  --  lo     any     anywhere             anywhere           

Jiná otázka je, proč máš na localhostu otevřeno tolik portů.

a hlavne skenujes sam sebe a to je nesmysl

priste prosim klasiku:

lsof -i
netstat -tulnp #### man netstat

Moc nerozumím rozdílu mezi nmap a lsof/netstat; Red Hat Enterprise Linux 3: Security Guide radí přesný opak:

There are two basic approaches for listing the ports that are listening on the network. The less reliable approach is to query the network stack by typing commands such as netstat -an or lsof -i. This method is less reliable since these programs do not connect to the machine from the network, but rather check to see what is running on the system. For this reason, these applications are frequent targets for replacement by attackers. In this way, crackers attempt to cover their tracks if they open unauthorized network ports.

A more reliable way to check which ports are listening on the network is to use a port scanner such as nmap.

The following command issued from the console determines which ports are listening for TCP connections from the network:

nmap -sT -O localhost

[Šuohob]

zkus zvazit, jestli opravdu nutne potrebujes tolik sitovych sluzeb
prebytecne povypinej, pak nebudes mit zbytecne otevrene porty

[Petr Merlin Vaněček]

Co vidím, tak tam běží i SMTP a IMAP - co to je za stroj? Nějaký server?

[beer]

je to stolní pc, nainstaloval jsem si mailutils, ale nevyužívám to. Možnà jsem instaloval ještě něco, zřejmě sendmail.

[Petr Merlin Vaněček]

Jak psal NTZ → sudo netstat -tulnp

[beer]

Jak psal NTZ → sudo netstat -tulnp

Jak se dostanu k tomuto pc, dám výpis. Je tam nainstalované ještě samba/cifs, ssh server a NFS, to by nějaké porty mohlo vysvětlit.

[beer]

Jak psal NTZ → sudo netstat -tulnp

Jak se dostanu k tomuto pc, dám výpis. Je tam nainstalované ještě samba/cifs, ssh server a NFS, to by nějaké porty mohlo vysvětlit.

Kód: [Vybrat]

root@medved-ubuntu:~# netstat -tulnp
Aktivní Internetová spojení (pouze servery)
Proto Přích-F Odch-F Místní Adresa          Vzdálená Adresa         Stav       PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1553/dnsmasq   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1204/sshd       
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1284/cupsd     
tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN      1410/tor       
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN      2168/dropbox   
tcp        0      0 0.0.0.0:37441           0.0.0.0:*               LISTEN      2129/skype     
tcp6       0      0 :::22                   :::*                    LISTEN      1204/sshd       
tcp6       0      0 ::1:631                 :::*                    LISTEN      1284/cupsd     
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1553/dnsmasq   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1330/dhclient   
udp        0      0 10.0.0.3:123            0.0.0.0:*                           2425/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           2425/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           2425/ntpd       
udp        0      0 0.0.0.0:33246           0.0.0.0:*                           1262/avahi-daemon:
udp        0      0 0.0.0.0:37441           0.0.0.0:*                           2129/skype     
udp        0      0 127.0.0.1:39695         0.0.0.0:*                           2129/skype     
udp        0      0 0.0.0.0:17500           0.0.0.0:*                           2168/dropbox   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1262/avahi-daemon:
udp6       0      0 ::1:123                 :::*                                2425/ntpd       
udp6       0      0 fe80::7ceb:d6ff:fe5:123 :::*                                2425/ntpd       
udp6       0      0 :::123                  :::*                                2425/ntpd       
udp6       0      0 :::43439                :::*                                1262/avahi-daemon:
udp6       0      0 :::5353                 :::*                                1262/avahi-daemon:


[Petr Merlin Vaněček]

Hm, to je hodně zvláštní, protože podle tohoto výpisu to vypadá, že třeba na (údajně otevřeném) portu 25 nic neposlouchá.

Zajímal by mne výsledek

Kód: [Vybrat]

telnet localhost 25

A také, zda existuje soubor /etc/inetd.conf resp. /etc/xinetd.conf a případně jeho obsah.

[beer]

Nějak jsem zapomněl na toto téma, tak bych se k němu rád vrátil , zde jsou výpisy, co jsem slíbil dodat:

Kód: [Vybrat]

root@localhost:~# lsof -i
COMMAND    PID       USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
rpcbind    922       root    6u  IPv4   6953      0t0  UDP *:sunrpc
rpcbind    922       root    7u  IPv4   6954      0t0  UDP *:665
rpcbind    922       root    8u  IPv4   6955      0t0  TCP *:sunrpc (LISTEN)
rpcbind    922       root    9u  IPv6   6956      0t0  UDP *:sunrpc
rpcbind    922       root   10u  IPv6   6957      0t0  UDP *:665
rpcbind    922       root   11u  IPv6   6958      0t0  TCP *:sunrpc (LISTEN)
cupsd     1308       root    8u  IPv6  35239      0t0  TCP ip6-localhost:ipp (LISTEN)
cupsd     1308       root    9u  IPv4  35240      0t0  TCP localhost:ipp (LISTEN)
avahi-dae 1313      avahi   12u  IPv4   8838      0t0  UDP *:mdns
avahi-dae 1313      avahi   13u  IPv6   8839      0t0  UDP *:mdns
avahi-dae 1313      avahi   14u  IPv4   8841      0t0  UDP *:59039
avahi-dae 1313      avahi   15u  IPv6   8842      0t0  UDP *:55671
rpc.statd 1349      statd    5r  IPv4   9468      0t0  UDP localhost:677
rpc.statd 1349      statd    8u  IPv4   9475      0t0  UDP *:50188
rpc.statd 1349      statd    9u  IPv4   9479      0t0  TCP *:60722 (LISTEN)
rpc.statd 1349      statd   10u  IPv6   9482      0t0  UDP *:49310
rpc.statd 1349      statd   11u  IPv6   9485      0t0  TCP *:43507 (LISTEN)
miredo    1475     miredo    8u  IPv4   9680      0t0  UDP *:52050
rpc.mount 1545       root    8u  IPv4  10417      0t0  UDP *:39124
rpc.mount 1545       root    9u  IPv4  10420      0t0  TCP *:44433 (LISTEN)
rpc.mount 1545       root   10u  IPv6  10423      0t0  UDP *:38776
rpc.mount 1545       root   11u  IPv6  10426      0t0  TCP *:46150 (LISTEN)
rpc.mount 1545       root   12u  IPv4  10429      0t0  UDP *:37366
rpc.mount 1545       root   13u  IPv4  10432      0t0  TCP *:58834 (LISTEN)
rpc.mount 1545       root   14u  IPv6  10435      0t0  UDP *:60666
rpc.mount 1545       root   15u  IPv6  10438      0t0  TCP *:37278 (LISTEN)
rpc.mount 1545       root   16u  IPv4  10441      0t0  UDP *:46784
rpc.mount 1545       root   17u  IPv4  10444      0t0  TCP *:51770 (LISTEN)
rpc.mount 1545       root   18u  IPv6  10447      0t0  UDP *:47624
rpc.mount 1545       root   19u  IPv6  10450      0t0  TCP *:48079 (LISTEN)
tor       1573 debian-tor    7u  IPv4  10486      0t0  TCP localhost:9050 (LISTEN)
edge      1856       root    4u  IPv4   9770      0t0  UDP *:42882
edge      2686       root    4u  IPv4  16520      0t0  UDP *:55524
dropbox   3862     medved    9u  IPv4 164465      0t0  TCP linux.local:38464->v-client-5b.sjc.dropbox.com:https (CLOSE_WAIT)
dropbox   3862     medved   20u  IPv4  40551      0t0  TCP linux.local:47308->v-d-2b.sjc.dropbox.com:https (CLOSE_WAIT)
dropbox   3862     medved   22u  IPv4  39567      0t0  TCP linux.local:43284->ec2-50-17-243-153.compute-1.amazonaws.com:https (CLOSE_WAIT)
dropbox   3862     medved   26u  IPv4  40566      0t0  UDP *:17500
dropbox   3862     medved   29u  IPv4  40569      0t0  TCP *:17500 (LISTEN)
dropbox   3862     medved   30u  IPv4  40660      0t0  TCP linux.local:60561->sjc-not19.sjc.dropbox.com:http (ESTABLISHED)
dropbox   3862     medved   36u  IPv4  40583      0t0  TCP linux.local:32778->v-client-4a.sjc.dropbox.com:https (CLOSE_WAIT)
ubuntu-ge 4043     medved    7u  IPv4  39342      0t0  TCP linux.local:60035->mistletoe.canonical.com:http (CLOSE_WAIT)
dnsmasq   4337     nobody    4w  IPv4  35924      0t0  UDP localhost:domain
dnsmasq   4337     nobody    5u  IPv4  35925      0t0  TCP localhost:domain (LISTEN)
ntpd      4940        ntp   16u  IPv4  39495      0t0  UDP *:ntp
ntpd      4940        ntp   17u  IPv6  39496      0t0  UDP *:ntp
ntpd      4940        ntp   18u  IPv4  39502      0t0  UDP localhost:ntp
ntpd      4940        ntp   19u  IPv4  39503      0t0  UDP linux.local:ntp
ntpd      4940        ntp   20u  IPv4  39504      0t0  UDP linux.local:ntp
ntpd      4940        ntp   21u  IPv4  39505      0t0  UDP linux.local:ntp
ntpd      4940        ntp   22u  IPv6  39506      0t0  UDP [fe80::f89d:1ff:fedc:b493]:ntp
ntpd      4940        ntp   23u  IPv6  39507      0t0  UDP [fe80::b2:caff:fe1a:fdc7]:ntp
ntpd      4940        ntp   24u  IPv6  39508      0t0  UDP [fe80::64b:80ff:fe80:8003]:ntp
ntpd      4940        ntp   25u  IPv6  39509      0t0  UDP ip6-localhost:ntp
ntpd      4940        ntp   28u  IPv6  43982      0t0  UDP [2001:0:d91f:cca0:44c:34ad:aab9:f816]:ntp
sshd      8079       root    3r  IPv4 274878      0t0  TCP *:ssh (LISTEN)
sshd      8079       root    4u  IPv6 274880      0t0  TCP *:ssh (LISTEN)
ssh       8093     medved    3r  IPv4 275428      0t0  TCP localhost:50322->localhost:ssh (ESTABLISHED)
sshd      8094       root    3r  IPv4 275429      0t0  TCP localhost:ssh->localhost:50322 (ESTABLISHED)
sshd      8275     medved    3u  IPv4 275429      0t0  TCP localhost:ssh->localhost:50322 (ESTABLISHED)
chrome    8400     medved   75u  IPv4 278500      0t0  TCP linux.local:50094->173.194.35.87:https (ESTABLISHED)
chrome    8400     medved   76u  IPv4 278501      0t0  TCP linux.local:50095->173.194.35.87:https (ESTABLISHED)
chrome    8400     medved   78u  IPv4 278503      0t0  TCP linux.local:50097->173.194.35.87:https (ESTABLISHED)
chrome    8400     medved   79u  IPv4 278504      0t0  TCP linux.local:50098->173.194.35.87:https (ESTABLISHED)
chrome    8400     medved   80u  IPv4 278505      0t0  TCP linux.local:50099->173.194.35.87:https (ESTABLISHED)
chrome    8400     medved   86u  IPv4 279658      0t0  TCP linux.local:56321->fa-in-f95.1e100.net:https (ESTABLISHED)
chrome    8400     medved   87u  IPv4 279665      0t0  TCP linux.local:58847->bud01s13-in-f5.1e100.net:https (ESTABLISHED)
chrome    8400     medved   98u  IPv4 279778      0t0  TCP linux.local:54965->fa-in-f125.1e100.net:xmpp-client (ESTABLISHED)

Kód: [Vybrat]

root@localhost:~# netstat -tulnp
Aktivní Internetová spojení (pouze servery)
Proto Přích-F Odch-F Místní Adresa          Vzdálená Adresa         Stav       PID/Program name
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      922/rpcbind     
tcp        0      0 0.0.0.0:44433           0.0.0.0:*               LISTEN      1545/rpc.mountd
tcp        0      0 0.0.0.0:58834           0.0.0.0:*               LISTEN      1545/rpc.mountd
tcp        0      0 0.0.0.0:60722           0.0.0.0:*               LISTEN      1349/rpc.statd 
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      4337/dnsmasq   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      8079/sshd       
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1308/cupsd     
tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN      1573/tor       
tcp        0      0 0.0.0.0:51770           0.0.0.0:*               LISTEN      1545/rpc.mountd
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN      3862/dropbox   
tcp        0      0 0.0.0.0:37632           0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -               
tcp6       0      0 :::60362                :::*                    LISTEN      -               
tcp6       0      0 :::48079                :::*                    LISTEN      1545/rpc.mountd
tcp6       0      0 :::111                  :::*                    LISTEN      922/rpcbind     
tcp6       0      0 :::43507                :::*                    LISTEN      1349/rpc.statd 
tcp6       0      0 :::22                   :::*                    LISTEN      8079/sshd       
tcp6       0      0 ::1:631                 :::*                    LISTEN      1308/cupsd     
tcp6       0      0 :::37278                :::*                    LISTEN      1545/rpc.mountd
tcp6       0      0 :::2049                 :::*                    LISTEN      -               
tcp6       0      0 :::46150                :::*                    LISTEN      1545/rpc.mountd
udp        0      0 0.0.0.0:42882           0.0.0.0:*                           1856/edge       
udp        0      0 0.0.0.0:2049            0.0.0.0:*                           -               
udp        0      0 127.0.0.1:53            0.0.0.0:*                           4337/dnsmasq   
udp        0      0 0.0.0.0:53346           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:111             0.0.0.0:*                           922/rpcbind     
udp        0      0 10.3.3.1:123            0.0.0.0:*                           4940/ntpd       
udp        0      0 10.2.2.1:123            0.0.0.0:*                           4940/ntpd       
udp        0      0 10.0.0.1:123            0.0.0.0:*                           4940/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           4940/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           4940/ntpd       
udp        0      0 0.0.0.0:39124           0.0.0.0:*                           1545/rpc.mountd
udp        0      0 0.0.0.0:55524           0.0.0.0:*                           2686/edge       
udp        0      0 0.0.0.0:37366           0.0.0.0:*                           1545/rpc.mountd
udp        0      0 0.0.0.0:665             0.0.0.0:*                           922/rpcbind     
udp        0      0 127.0.0.1:677           0.0.0.0:*                           1349/rpc.statd 
udp        0      0 0.0.0.0:52050           0.0.0.0:*                           1475/miredo     
udp        0      0 0.0.0.0:50188           0.0.0.0:*                           1349/rpc.statd 
udp        0      0 0.0.0.0:17500           0.0.0.0:*                           3862/dropbox   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1313/avahi-daemon:
udp        0      0 0.0.0.0:59039           0.0.0.0:*                           1313/avahi-daemon:
udp        0      0 0.0.0.0:46784           0.0.0.0:*                           1545/rpc.mountd
udp6       0      0 :::38776                :::*                                1545/rpc.mountd
udp6       0      0 :::49133                :::*                                -               
udp6       0      0 :::2049                 :::*                                -               
udp6       0      0 :::111                  :::*                                922/rpcbind     
udp6       0      0 2001:0:d91f:cca0:44:123 :::*                                4940/ntpd       
udp6       0      0 fe80::ffff:ffff:fff:123 :::*                                4940/ntpd       
udp6       0      0 ::1:123                 :::*                                4940/ntpd       
udp6       0      0 fe80::64b:80ff:fe80:123 :::*                                4940/ntpd       
udp6       0      0 fe80::b2:caff:fe1a::123 :::*                                4940/ntpd       
udp6       0      0 fe80::f89d:1ff:fedc:123 :::*                                4940/ntpd       
udp6       0      0 :::123                  :::*                                4940/ntpd       
udp6       0      0 :::49310                :::*                                1349/rpc.statd 
udp6       0      0 :::55671                :::*                                1313/avahi-daemon:
udp6       0      0 :::47624                :::*                                1545/rpc.mountd
udp6       0      0 :::665                  :::*                                922/rpcbind     
udp6       0      0 :::5353                 :::*                                1313/avahi-daemon:
udp6       0      0 :::60666                :::*                                1545/rpc.mountd

Kód: [Vybrat]

root@localhost:~# cat /etc/inetd.conf
cat: /etc/inetd.conf: Adresář nebo soubor neexistuje


Kód: [Vybrat]

root@localhost:~# cat /etc/xinetd.conf
cat: /etc/xinetd.conf: Adresář nebo soubor neexistuje


Kód: [Vybrat]

root@localhost:~# telnet localhost 25
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused