Hallo, Ich habe mal einen scan mit nmap gemacht und folgendes ist dabei rausgekommen:
nmap -O 10.xxx.xxx.xxx

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-10-03 13:52 CEST
sendto in send_ip_packet: sendto(3, packet, 60, 0, 10.xxx.xxx.xxx, 16) => Operation not permitted
sendto in send_ip_packet: sendto(3, packet, 60, 0, 10.xxx.xxx.xxx 16) => Operation not permitted
Interesting ports on xxxxxxxxxxx.xxxxxxxxxxx (10.xxx.xxx.xxx):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
113/tcp open auth
515/tcp open printer
538/tcp open gdomap
631/tcp open ipp
820/tcp open unknown
1234/tcp open hotline
8000/tcp open http-alt
Device type: general purpose
Running: Linux 2.4.X|2.6.X
OS details: Linux 2.4.22 - 2.6.3 (x86, Gentoo)
Uptime 49.709 days (since Mon Aug 14 20:50:50 2006)

Nmap finished: 1 IP address (1 host up) scanned in 2.446 seconds

Nun habe ich zwei ports entdeck mit denen ich nichts anzufangen weiß.
820/tcp open unknown
1234/tcp open hotline
Achja den Scan habe von dem rechner selbst ausgeführt, von einen anderen rechner bringt der scan nur das was ich wollte, sprich also alle ports sind nicht erreichbar.
Weiß hier jemand was sich dahinter verbirgt bzw. wie man heraus bekommt was sich dahinter verbirgt und wozu es von nutzen ist? Ich hab nen Debian Sarge installiert ohne besondere Anpassungen.
Einen Dank an Harrys iptablesgenerator.http://www.harry.homelinux.org/

*such* ... *find*

http://www.linuxforen.de/forums/showthread.php?t=221152&page=2

Das Posting von marce.

Greetz,

RM

Hallo, so richtig sehe ich zwar nicht was dieser link mit meiner frage zu tun hat. Habe aber mal hier:
http://de.wikipedia.org/wiki/Port_%28Protokoll%29 was nachgesehen und bin dabei darauf gestoßen
1234 Ultors Trojan für den port 820 habe ich nichts gefunden. Zum Checken meiner Sicherheit benutze ih rootkithunter,chkrootkit und tiger. Bis jetzt habe ich noch mit keinem tool irgend eine infiltration festgestellt. Ich weiß das man sich nicht 100%ig auf solche tools verlassen kann, aber der Rechner hängt nicht ständig am netz. Stellt sich jetzt also die frage: habe ich einen Trojaner drauf?
Ich wäre über eine konstuktive hilfe sehr froh. Da ich nicht das nowhow habe was andere hier im forum besitzen.
PS: ich konnte auch noch keine unregelmäßigkeiten an meinem Laptop feststellen, alles läuft wie gewohnt.

"lsof -i" gibt interessante Daten aus.

Ja, das tut es.
lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 3381 daemon 3u IPv4 6875 UDP *:sunrpc
portmap 3381 daemon 4u IPv4 6876 TCP *:sunrpc (LISTEN)
cupsd 4169 root 0u IPv4 8208 TCP *:ipp (LISTEN)
cupsd 4169 root 2u IPv4 8209 UDP *:ipp
exim4 4301 Debian-exim 3u IPv4 8225 TCP localhost.localdomain:smtp (LISTEN)
gdomap 4314 nobody 3u IPv4 8256 UDP *:gdomap
gdomap 4314 nobody 4u IPv4 8257 TCP *:gdomap (LISTEN)
inetd 4319 root 4u IPv4 8267 TCP *:auth (LISTEN)
inetd 4319 root 5u IPv4 8268 TCP *:printer (LISTEN)
monopd 4324 nobody 3u IPv4 8364 TCP *:1234 (LISTEN)
nasd 4328 root 0u IPv4 8303 TCP *:8000 (LISTEN)
sshd 4426 root 3u IPv6 8664 TCP *:ssh (LISTEN)
famd 4439 lacrima 3u IPv4 8717 TCP localhost.localdomain:799 (LISTEN)
gnustep_s 4450 root 3u IPv4 8759 TCP *:32768 (LISTEN)
rpc.statd 4454 root 4u IPv4 8770 UDP *:817
rpc.statd 4454 root 5u IPv4 8754 UDP *:814
rpc.statd 4454 root 6u IPv4 8773 TCP *:820 (LISTEN)

Und da steht auch das auf port1234 : monopd 4324 nobody 3u IPv4 8364 TCP *:1234 (LISTEN) lauscht, na mal sehen was sich über das prog monopd herausfinden läßt.
danke schonmal dafür

So auch das hätte ich herausgefunden, und ich denke das bei mir alles in Ordnung ist. Es handelt sich um
monopd - Monopoly game network server
wobei ich auch garnicht weis wann ich das ding mal installiert hatte.
Danke, für eure hilfe.

Gern geschehen..

Port 820 (rpc) braucht man btw. für nfs.

EDIT: http://sourceforge.net/projects/monopd/