Otevřené porty - jiné výsledky nmap lokálně a vzdáleně (vyřešeno)

Ahoj,

díval jsem se na seznam otevřených portů. Pouštím nmap -T Aggressive -A -v xxxxx. V případě, že nmap pustím přímo na stroji, který chci skenovat tak se výsledky liší o jeden port oproti tomu když to skenuji z venku. Právě při skenování z venku mi to najde o jeden port navíc.

Každopádně v iptables mám policy na INPUT drop a explicitně povoluji porty. Divné je, že v seznamu povolných portů ten inkrimonovaný port vůbec nemám.

Jedná se o port 1720.

Vůbec to nechápu. OS je Debian Etch a běží to ve virtuální mašině Virtuozzo.

Nemáte někdo tušení jak je tohle možné?

Odpovědi

Parallels Virtuozzo :-)

17.5.2008 23:29 Marian Krucina | skóre: 13
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Není to pro komunikaci s tímto systémem? (Takže se k linuxu to spojení nedostane.) Jakpak to zareaguje po připojení telnetem? :-)

18.5.2008 10:39 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Také mě napadlo, že by to mohl být port pro komunikaci s tím systémem, ale Googlem jsem nic nenašel a tak mě to právě hlodalo v hlavě. Jinak telnetem se tam vůbec nepřipojím.

co na to rika netstat?

Talking about music is like dancing to architecture.

16.5.2008 18:49 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Netstat o ničem neví ...

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:79              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN
tcp        0      0 xxx.xx.xx.xxx:53        0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0    840 xxx.xx.xx.xxx:22        xx.xx.xxx.xxx:1607      ESTABLISHED

co rika netstat -lp?

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

19.5.2008 09:41 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně


Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     148008458 28147/master        private/trace
unix  2      [ ACC ]     STREAM     LISTENING     148008462 28147/master        private/verify
unix  2      [ ACC ]     STREAM     LISTENING     148008470 28147/master        private/proxymap
unix  2      [ ACC ]     STREAM     LISTENING     148008474 28147/master        private/smtp
unix  2      [ ACC ]     STREAM     LISTENING     148008478 28147/master        private/relay
unix  2      [ ACC ]     STREAM     LISTENING     148008486 28147/master        private/error
unix  2      [ ACC ]     STREAM     LISTENING     148008490 28147/master        private/discard
unix  2      [ ACC ]     STREAM     LISTENING     148008494 28147/master        private/local
unix  2      [ ACC ]     STREAM     LISTENING     148008498 28147/master        private/virtual
unix  2      [ ACC ]     STREAM     LISTENING     148008502 28147/master        private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     148008506 28147/master        private/anvil
unix  2      [ ACC ]     STREAM     LISTENING     148008510 28147/master        private/scache
unix  2      [ ACC ]     STREAM     LISTENING     148008514 28147/master        private/maildrop
unix  2      [ ACC ]     STREAM     LISTENING     148008518 28147/master        private/uucp
unix  2      [ ACC ]     STREAM     LISTENING     148008522 28147/master        private/ifmail
unix  2      [ ACC ]     STREAM     LISTENING     148008526 28147/master        private/bsmtp
unix  2      [ ACC ]     STREAM     LISTENING     148008435 28147/master        public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     148362980 11388/mysqld        /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     148008530 28147/master        private/scalemail-backend
unix  2      [ ACC ]     STREAM     LISTENING     148008534 28147/master        private/mailman
unix  2      [ ACC ]     STREAM     LISTENING     148008466 28147/master        public/flush
unix  2      [ ACC ]     STREAM     LISTENING     148008482 28147/master        public/showq
unix  2      [ ACC ]     STREAM     LISTENING     148008237 28055/nscd          /var/run/nscd/socket
unix  2      [ ACC ]     STREAM     LISTENING     148008442 28147/master        private/tlsmgr
unix  2      [ ACC ]     STREAM     LISTENING     148008446 28147/master        private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     148008450 28147/master        private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     148008454 28147/master        private/defer
unix  2      [ ACC ]     STREAM     LISTENING     148008619 28170/saslauthd     /var/spool/postfix/var/run/saslauthd/mux

co rika telnet na ten port?

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

19.5.2008 09:42 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Telnetem se na ten port vůbec nepřipojím. Nereaguje.

20.5.2008 08:35 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Co ja mam zkusenosti, tak pokud se telnet nepripoji, tak skonci s hlasenim, ze se pripojeni nezdarilo. Pokud ti zustane bez reakci, pak to znamena, ze se telnet pripojil a protistrana ocekava tve prikazy. Zkusil bych pomackat nejake klavesy, ENTER a pod. Proste protistrane neco poslat a vyvolat nejake reakce - tak uvidis, ze reaguje. Prinejmensim ti ukonci komunikaci, ale i to je reakce protistrany a tedy znamka uspesneho pripojeni se.

Ale pokud jsou moje zkusenosti vadne, prosim zkusenejsi, aby me opravili :-)

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

20.5.2008 09:21 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

No tak tam asi něco bude. Minule jsem to přehlédl, ale telnet se tam připojí, ale při prvním pokusu o něco to spadne. Nicméně oproti portu kde prokazatelně nic není se telnet chová jinak, takže tam asi vážně něco bude.

20.5.2008 23:12 Marian Krucina | skóre: 13
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

při prvním pokusu o něco to spadne.

To je ono

A hlásí to něco? Vypíše to nějakou hlášku?

21.5.2008 09:56 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Žádná hláška.

Vrátí něco lsof -Pni :1720?

20.5.2008 15:12 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Vůbec nic to nevrátí.

20.5.2008 15:18 Martin Šebek | skóre: 18 | blog: Tady je Indiánovo | Mladá Boleslav
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

A spouštěl jsi to jako root?

21.5.2008 09:56 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Ano

21.5.2008 11:13 Martin Šebek | skóre: 18 | blog: Tady je Indiánovo | Mladá Boleslav
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Můžeš sem pastnout výstup toho nmapu zvenku? Není to tak, že ten port 1720 je filtered?

Dneska jsem to skanoval znova a už tam ten port není. A je tam zase otevřený port 8443, na kterém je udájně OpenSSL. Nicméně scan z dotyčného serveru oněm vůbec nic neví, stejně tak by tam podle IPTABLES žádný takový být neměl. To je mi pěkná haluz.

8443/tcp open   ssl     OpenSSL

21.5.2008 22:10 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

tak skus chkrootkit alebo nieco podobne :)

22.5.2008 07:38 Marian Krucina | skóre: 13
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

8443 - Plesk integration?

22.5.2008 08:05 Petr Volný | blog: volnyp
Rozbalit Rozbalit vše Re: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Díky, to už by sedělo. Sice v tom dokumentu nic nepíšou o portu 1720, ale podle mě to musí souviset s tím, že se jedná o virtuální stroj. Tak ještě jednou díky, už to nebudu paranoidně řešit :-)

Dotaz: Otevřené porty - jiné výsledky nmap lokálně a vzdáleně

Odpovědi