PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : aktive dienste an den ports



karger_r
26.02.03, 23:28
Ich habe ein paar Programme auf meinem System installiert,
nun wurde ich gern wissen wie unsicher mein System gegen Eindringringe geworden ist .
Dazu möchte ich die dienste die momentan am meinen ports aktiv sind sehen.
Kann mir jemand verraten, was für ein Befehl es da dafür gibt?
Gib es ein Programm der mir alles mitlogt was oder wer auf meine dienste zugreift?

Grüße
Robert

HangLoose
26.02.03, 23:42
hi

das sind ja gleich 3 wünsche auf einmal ;)


Dazu möchte ich die dienste die momentan am meinen ports aktiv sind sehen.

netstat -nl
nmap localhost <== portscanner



Gib es ein Programm der mir alles mitlogt was oder wer auf meine dienste zugreift?

sieh dich mal im verz. /var/log um, dort legen die dienste ihre logfiles ab. der befehl last listet dir auf, wer sich von wo auf deinen rechner eingeloggt hat.


nun wurde ich gern wissen wie unsicher mein System gegen Eindringringe geworden ist .

das kommt drauf an, was für dienste du installiert hast und wie *sauber* du die dienste konfiguriert hast. einen unsicheren dienst (telnet) kannst du noch so *gut* konfigurieren, allein schon durch die art und weise, wie die pakete übertragen werden ( nämlich im klartext ) sorgen dafür, das es passieren kann, das ein angreifer deine passwörter snifft.

du solltest nur die dienste laufen lassen, die du auch wirklich benötigst.


Gruß HL

netzmeister
26.02.03, 23:49
Hallo,

einen Portscanner über "localhost" laufen zu lassen ist ziemlicher Unsinn.
Damit scannst Du über das Loopback Device. Da kann nichts Vernünftiges
dabei rauskommen.

Scannen bringt nur was von einem externen Rechner.

Viele Grüße

Eicke

HangLoose
27.02.03, 00:07
@netzmeister

linux-client root # nmap localhost

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on localhost (127.0.0.1):
(The 1598 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
80/tcp open http
1024/tcp open kdm

Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds

root@linux-server log # nmap 192.168.99.2

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on linux-client.mynet.local (192.168.99.2):
(The 1598 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
80/tcp open http
1024/tcp open kdm

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second


Gruß HL

Harry
28.02.03, 16:09
Naja, in dem Falle hängen die Dienste sshd, httpd und kdm zufälligerweise auf beiden Interfaces, nämlich dem Ethernet-Interface (geraten) und dem Loopback-Interface; aus dem Grunde bekommst Du bei einem Portscan auf diese beiden Interfaces auch dasselbe Ergebnis.

Netzmeister liegt mit seiner Aussage schon korrekt, denn Du kannst Deine Netzwerkdienste ja beliebig an spezielle Interfaces binden und von anderen Interfaces wiederum lösen :)

Harry

Jinto
28.02.03, 16:23
Wie netzmeister und auch Harry schon sagten, scannst du damit über Loopback. Weswegen es ziemlicher Unsinn ist den eigenen Host zu scannen. Oft wird dann auch noch die Funktionsfähigkeit des Paketfilters damit zu überprüfen, was ganz übel schiefgeht.

Teste es einfach mal:
iptables -I INPUT -j LOG und/oder iptables -I OUTPUT -j LOG

und scanne dich danach mit nmap. Schau danach bitte auf das im Log festgehaltene Interface.

HTH

HangLoose
28.02.03, 16:30
ok ihr 3 => ich nehme alles zurück :)

@Jinto



Teste es einfach mal:
iptables -I INPUT -j LOG und/oder iptables -I OUTPUT -j LOG

der aufwand ist mir zu groß, ich müßte erst iptables in den kernel compilieren und ich bin ein fauler sack. ;)


thx für die richtigstellung

edit: @harry

was ist mit deiner homepage los. ich komm seit 2 tagen nicht mehr rauf.


Gruß HL

Harry
28.02.03, 16:36
Original geschrieben von HangLoose
@harry

was ist mit deiner homepage los. ich komm seit 2 tagen nicht mehr rauf.
Sie zieht gerade um - bzw. zieht der Server um, jedoch hat er am neuen Standort bis dato leider noch keine Internetanbindung :(
Es wird wohl noch einige Tage dauern, bis eine Anbindung geschaltet ist und die Seite wieder da ist - aber sie kommt wieder zurück. Verlaß' Dich drauf ;)

Harry

HangLoose
28.02.03, 16:43
@Harry

dann bin ich ja beruhigt. es gibt nämlich neue kundschaft für deinen iptables generator ;)

btw. hab ich das jetzt richtig verstanden, wenn ich einen client hab mit nur einer NK, ist es egal ob ich von einem anderen rechner scanne oder über localhost. nur wenn der rechner mehrere NK's hat, bringt mir ein scan @localhost nichts?


Gruß HL

Harry
28.02.03, 16:59
Original geschrieben von HangLoose
btw. hab ich das jetzt richtig verstanden, wenn ich einen client hab mit nur einer NK, ist es egal ob ich von einem anderen rechner scanne oder über localhost. nur wenn der rechner mehrere NK's hat, bringt mir ein scan @localhost nichts?
Ein Scan auf localhost sagt generell nichts über die Dienste aus, die Du im Netzwerk (außer im Loopback-Netzwerk) anbietest. Das ist unabhängig von der Anzahl Deiner Netzwerkkarten.

lo != eth0 != eth1 != ppp0 != ippp0 != tr0 ... ;)

Harry

HangLoose
28.02.03, 17:06
ok ich hab's kapiert :)


Gruß HL