patrix-power
13.01.06, 18:02
hallo zusammen,
ich hoffe die antwort auf meine frage findet sich nicht per suchfunktion, ich habe sie nicht gefunden..
ich habe mir einen neuen server eingesetzt und debian sarge 3.1 installiert. dann habe ich mein übliches iptables-skript eingesetzt. dann habe ich inetd deaktiviert und sämtliche inetd-Dienste aus /etc/inetd.conf entfernt.
ein portscan mit nmap spukt bei aktivierter firewall folgende ergebnisse aus:
Interesting ports on (xxx.xxx.xxx.xxx):
(The 1011 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
23/tcp filtered telnet
67/tcp filtered dhcpserver
68/tcp filtered dhcpclient
69/tcp filtered tftp
79/tcp filtered finger
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
ich dachte zuerst da einen daemon der die ports aufmacht, doch fehlanzeige. kein xinetd, kein portmap installiert. außerdem sind alle dienste bis auch ssh gar nicht auf dem server drauf.
ein netstat -a gibt nur denn ssh-server aus, lsof findet auch nichts außer den ssh-daemon.
komischerweise gibt es auf einem anderen server mit dem gleichen skript diesen offenen ports nicht.
ein ps aux ergibt
radium:/etc/init.d# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1504 528 ? S 16:43 0:00 init [2]
root 2 0.0 0.0 0 0 ? SN 16:43 0:00 [ksoftirqd/0]
root 3 0.0 0.0 0 0 ? S< 16:43 0:03 [events/0]
root 4 0.0 0.0 0 0 ? S< 16:43 0:00 [khelper]
root 5 0.0 0.0 0 0 ? S< 16:43 0:00 [kacpid]
root 19 0.0 0.0 0 0 ? S< 16:43 0:00 [kblockd/0]
root 29 0.0 0.0 0 0 ? S 16:43 0:00 [pdflush]
root 30 0.0 0.0 0 0 ? S 16:43 0:00 [pdflush]
root 32 0.0 0.0 0 0 ? S< 16:43 0:00 [aio/0]
root 31 0.0 0.0 0 0 ? S 16:43 0:00 [kswapd0]
root 104 0.0 0.0 0 0 ? S 16:43 0:00 [scsi_eh_0]
root 115 0.0 0.0 0 0 ? S 16:43 0:00 [kseriod]
root 116 0.0 0.0 0 0 ? S 16:43 0:00 [kjournald]
root 1109 0.0 0.0 1980 964 ? Ss 16:43 0:00 /sbin/syslog-ng -p /var/run/syslog-ng.pid
root 1440 0.0 0.0 3472 1540 ? Ss 16:44 0:00 /usr/sbin/sshd
root 1452 0.0 0.0 1764 836 ? Ss 16:44 0:00 /usr/sbin/cron
root 1465 0.0 0.0 1500 480 tty1 Ss+ 16:44 0:00 /sbin/getty 38400 tty1
root 1466 0.0 0.0 1500 480 tty2 Ss+ 16:44 0:00 /sbin/getty 38400 tty2
root 1467 0.0 0.0 1500 480 tty3 Ss+ 16:44 0:00 /sbin/getty 38400 tty3
root 1468 0.0 0.0 1500 480 tty4 Ss+ 16:44 0:00 /sbin/getty 38400 tty4
root 1469 0.0 0.0 1500 480 tty5 Ss+ 16:44 0:00 /sbin/getty 38400 tty5
root 1470 0.0 0.0 1500 480 tty6 Ss+ 16:44 0:00 /sbin/getty 38400 tty6
root 1527 0.0 0.0 14460 2016 ? Ss 16:46 0:00 sshd: admin [priv]
servera 1530 0.0 0.1 14820 2300 ? S 16:46 0:00 sshd: admin@pts/0
servera 1531 0.0 0.0 4348 1676 pts/0 Ss 16:46 0:00 -bash
root 1546 0.0 0.0 4532 1836 pts/0 S 16:50 0:00 bash
root 8386 0.0 0.0 2496 852 pts/0 R+ 17:58 0:00 ps aux
die iptables gehen, ich icmp-pakete werden nämlich gedroppt und das log füllt sich auch...
ist rätsel für mich woher die ports kommen, vielleicht hat jemand von euch eine idee?
ich freue mich über eure hilfe.
schöne grüße,
patrix
ich hoffe die antwort auf meine frage findet sich nicht per suchfunktion, ich habe sie nicht gefunden..
ich habe mir einen neuen server eingesetzt und debian sarge 3.1 installiert. dann habe ich mein übliches iptables-skript eingesetzt. dann habe ich inetd deaktiviert und sämtliche inetd-Dienste aus /etc/inetd.conf entfernt.
ein portscan mit nmap spukt bei aktivierter firewall folgende ergebnisse aus:
Interesting ports on (xxx.xxx.xxx.xxx):
(The 1011 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
23/tcp filtered telnet
67/tcp filtered dhcpserver
68/tcp filtered dhcpclient
69/tcp filtered tftp
79/tcp filtered finger
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
ich dachte zuerst da einen daemon der die ports aufmacht, doch fehlanzeige. kein xinetd, kein portmap installiert. außerdem sind alle dienste bis auch ssh gar nicht auf dem server drauf.
ein netstat -a gibt nur denn ssh-server aus, lsof findet auch nichts außer den ssh-daemon.
komischerweise gibt es auf einem anderen server mit dem gleichen skript diesen offenen ports nicht.
ein ps aux ergibt
radium:/etc/init.d# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1504 528 ? S 16:43 0:00 init [2]
root 2 0.0 0.0 0 0 ? SN 16:43 0:00 [ksoftirqd/0]
root 3 0.0 0.0 0 0 ? S< 16:43 0:03 [events/0]
root 4 0.0 0.0 0 0 ? S< 16:43 0:00 [khelper]
root 5 0.0 0.0 0 0 ? S< 16:43 0:00 [kacpid]
root 19 0.0 0.0 0 0 ? S< 16:43 0:00 [kblockd/0]
root 29 0.0 0.0 0 0 ? S 16:43 0:00 [pdflush]
root 30 0.0 0.0 0 0 ? S 16:43 0:00 [pdflush]
root 32 0.0 0.0 0 0 ? S< 16:43 0:00 [aio/0]
root 31 0.0 0.0 0 0 ? S 16:43 0:00 [kswapd0]
root 104 0.0 0.0 0 0 ? S 16:43 0:00 [scsi_eh_0]
root 115 0.0 0.0 0 0 ? S 16:43 0:00 [kseriod]
root 116 0.0 0.0 0 0 ? S 16:43 0:00 [kjournald]
root 1109 0.0 0.0 1980 964 ? Ss 16:43 0:00 /sbin/syslog-ng -p /var/run/syslog-ng.pid
root 1440 0.0 0.0 3472 1540 ? Ss 16:44 0:00 /usr/sbin/sshd
root 1452 0.0 0.0 1764 836 ? Ss 16:44 0:00 /usr/sbin/cron
root 1465 0.0 0.0 1500 480 tty1 Ss+ 16:44 0:00 /sbin/getty 38400 tty1
root 1466 0.0 0.0 1500 480 tty2 Ss+ 16:44 0:00 /sbin/getty 38400 tty2
root 1467 0.0 0.0 1500 480 tty3 Ss+ 16:44 0:00 /sbin/getty 38400 tty3
root 1468 0.0 0.0 1500 480 tty4 Ss+ 16:44 0:00 /sbin/getty 38400 tty4
root 1469 0.0 0.0 1500 480 tty5 Ss+ 16:44 0:00 /sbin/getty 38400 tty5
root 1470 0.0 0.0 1500 480 tty6 Ss+ 16:44 0:00 /sbin/getty 38400 tty6
root 1527 0.0 0.0 14460 2016 ? Ss 16:46 0:00 sshd: admin [priv]
servera 1530 0.0 0.1 14820 2300 ? S 16:46 0:00 sshd: admin@pts/0
servera 1531 0.0 0.0 4348 1676 pts/0 Ss 16:46 0:00 -bash
root 1546 0.0 0.0 4532 1836 pts/0 S 16:50 0:00 bash
root 8386 0.0 0.0 2496 852 pts/0 R+ 17:58 0:00 ps aux
die iptables gehen, ich icmp-pakete werden nämlich gedroppt und das log füllt sich auch...
ist rätsel für mich woher die ports kommen, vielleicht hat jemand von euch eine idee?
ich freue mich über eure hilfe.
schöne grüße,
patrix