Hi,

ich habe heute festgestellt, dass nmap mir einen offenen UDP-Port anzeigt, der aber bei jedem neuen nmap-Aufruf wechselt, so ca. in der Größenordnung 30000-60000, und das, obwohl ps keine Programme anzeigt, die nen Port öffnen sollten. Auch netstat zeigt nichts an.

Jetzt ist die Frage, woher das kommen kann, evtl. irgendwelche Kernel-Optionen oder doch ein Einbrecher?

Nachtrag:
# nmap -sU -p- 10.0.0.1

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-10-13 11:02 CEST
Interesting ports on host (10.0.0.1):
(The 65534 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
57443/udp open unknown

Nmap finished: 1 IP address (1 host up) scanned in 7.262 seconds
# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 4129 /dev/log
unix 2 [ ] DGRAM 1084 @/org/kernel/udev/udevd
unix 3 [ ] STREAM CONNECTED 5282
unix 3 [ ] STREAM CONNECTED 5281

Vielleicht kannst Du etwas mehr über die Art des auf diesem Port laufenden Dienstes herausfinden

http://www.linuxforen.de/forums/showthread.php?t=221152

So ab Posting Nr.11 von marce.

Ob das allerdings mit dem '-sV' auch für UDP funktioniert, kann ich Dir nicht genau sagen.

Greetz,

RM

Ne, mit -sV hatte ich schon ausprobiert, gibt keinerlei weitere Informationen. Und mit nc mal versuchen zu verbinden geht halt nicht, weil der Port ständig wechselt, vermutl. jede Sekunde oder so :(

Hier auch nochmal ein netstat mit Servern, hatte ich eben vergessen:
# netstat -ua
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address Stat

1. Mal aufnehmen mit tcpdump udp
2. netstat -c Option + PID Option und dann die PID nachsehen...

1. Mal aufnehmen mit tcpdump udp
2. netstat -c Option + PID Option und dann die PID nachsehen... Ne, tcpdump hatte ich auch schon ne Weile probiert, hat nichts gegeben. Und netstat zeigt doch wie gesagt auch nichts an.

was läuft denn alles auf dem Rechner?

Hi

Was es ist kann ich dir nicht sagen, aber wenn's ein Einbrecher ist hab ich ihn auch auf'm Rechner.
Ich hab Ethereal mitlaufen lassen - nichts. Könnte das eventuell eine falsche Anzeige von nmap sein?

Wenn du es noch nicht getan hast, würde ich auf alle Fälle mal rkhunter drüberlaufen lassen. nmap, ls, netstat, tcpdump usw. sind Kandidaten, die gerne von rootkits ausgetauscht werden um mit den Klonen gefälschte Ausgaben anzuzeigen.

Also eigenartig ist das auf jeden Fall und ich würde nicht eher Ruhe geben, bis ich "Übeltäter" hätte.

RichieX

Also rkhunter hab ich auch schon laufen lassen (auch aktualisiert), nichts gefunden, wobei ich dem auch nicht so richtig traue. Merkwürdig ist es auf jeden Fall und mir gefällt es auch überhaupt nicht. Hab auch schon nmap aktualisiert, zeigt den Port trotzdem noch an.

ich hab das auch .. komisch

nmap wird dich in dieser Situation nicht weiterbringen. Eher schon tcpdump. Vorher solltest du aber irgendwie die Echtheit sicherstellen, z.B. mit den Original-Binarys deiner Distribution. checksuite (http://checksuite.sourceforge.net/) kannst du dir auch mal anschauen.

Gibt es denn noch andere Anomalien im System?

RichieX

Noch was interessantes: Wenn man von nem anderen Rechner aus scannt, wird der Port nicht angezeigt (vorher /proc/sys/net/ipv4/icmp_ratelimit auf 0 setzen).

Nachtrag: Ne, andere Auffälligkeiten hatte ich bis jetzt noch nicht.

Ok, ist erledigt, hatte irgendwie die falschen Suchbegriffe. Der Port wird von nmap selbst verwendet: http://209.85.129.104/search?q=cache:KMBDQqdCaoQJ:www.linuxforum.com/forums/index.php%3Fact%3DST%26f%3D4%26t%3D156481