Pagina 1 di 2
Come capire di che servizio si tratta?
Inviato: gio 3 ago 2006, 15:49
da bluecircle
Ciao a tutti,
mi sono accorto da un pò che sulla mia slack 10.2 facendo un nmap localhost oltre alle porte dei servizi che ho abilitato io.. c'è anche qualche servizio o demone che gira su una porta non standard.
Ad ogni riavvio però la porta è diversa 883 8xx 6xx ecc, quindi anche filtrandola con iptables al primo riavvio la porta è cambiata..
Come posso fare per capire a cosa fa rifermento questa porta variabile?
Inviato: gio 3 ago 2006, 15:56
da Heidegger
Ciao un metodo semplice semplice c'è:
telnet 127.0.0.1 xxx
dove xxx non è un film a luci rosse ma il numero di porta random che viene aperto dal servizio che non conosci.
Teoricamente dovresti poter vedere di cosa si tratta.
Ciao
Inviato: gio 3 ago 2006, 16:09
da fede_home
ciao bluecircle,
io proverei con un
dove
- -v, --verbose be verbose
--numeric-ports don't resolve port names
-p, --programs display PID/Program name for sockets
-a, --all, --listening display all sockets (default: connected)
una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:
e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri
Federico
Inviato: gio 3 ago 2006, 16:12
da bluecircle
Heidegger ha scritto:Ciao un metodo semplice semplice c'è:
telnet 127.0.0.1 xxx
dove xxx non è un film a luci rosse
Grazie per la risposta.
facendo come dici tu ottengo Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
Escape character is '^]'
e si ferma li.
Inviato: gio 3 ago 2006, 16:24
da bluecircle
fede_home ha scritto:ciao bluecircle,
io proverei con un
dove
- -v, --verbose be verbose
--numeric-ports don't resolve port names
-p, --programs display PID/Program name for sockets
-a, --all, --listening display all sockets (default: connected)
una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:
e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri
Federico
Grazie Federico
col netstat da te suggerito ottengo
dove 4690 è l'id del processo PID
poi sempre come mi hai suggerito ho dato un ps -aux
Codice: Seleziona tutto
root 4690 0.0 0.0 1684 712 ? Ss 15:35 0:00 /usr/sbin/inetd
Qiomdo dvrebbe trattarsi inequivocabilmente del servizio inetd.
Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?
Davide
Inviato: gio 3 ago 2006, 16:25
da bluecircle
Adesso cerco più informazioni a riguardo grazie
Inviato: gio 3 ago 2006, 16:40
da fede_home
ciao,
mi spiace ma qui non posso più aiutarti. Potresti alzare un firewall ma stiamo parlando di firewallare inetd....
.
Cerca prima di capire bene che cosa fa il demone in generale...
su questo forum c'e' gente più brava di me per questo argomento.
ciao Federico
Inviato: gio 3 ago 2006, 16:47
da DaNiMoTh
E semplicemente non facendo partire il demone inetd ( se non ti serve )
con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?
Inviato: gio 3 ago 2006, 17:14
da Paoletta
Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?
innanzitutto devi capire se è aperta verso l'esterno...perchè facendo nmap localhost come se tu facessi nmap 127.0.0.1, che è l'interfaccia di loopback (e dall'esterno come fai a vederla)?
Molto probabilmente l'unica cosa raggiugibile dall'esterno è l'ip pubblico del tuo router, che sarà connesso al tuo computer tramite un'interfaccia di rete (eth0, eth1); un cracker in gambissima potrebbe (con basse probabilità) bypassare il tuo router ed avere accesso alla tua macchina (ma poi perchè? mica sei la NASA, un cracker ha bisogno di obiettivi). per evitare questo remoto caso allora fai nmap ip_interfaccia_con_cui_sei_connesso_al_router
per scoprire che cosa è con basse probabilità visibile dall'esterno; tutto questo prima di togliere eseguibiltà ad inetd;
ciao
Inviato: gio 3 ago 2006, 17:18
da bluecircle
DaNiMoTh ha scritto:E semplicemente non facendo partire il demone inetd ( se non ti serve )
con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?
Ciao, non avevo servizi attivi in /etc/inetd.conf , se non time ed auth, per ora ho risolto disabilitando l'avvio del demone.
Grazie
Inviato: gio 3 ago 2006, 17:20
da Paoletta
per me ti conviene leggere sopra...ed imparar qualcosa di nuovo
Inviato: gio 3 ago 2006, 17:46
da bluecircle
Paoletta ha scritto:per me ti conviene leggere sopra...ed imparar qualcosa di nuovo
Ciao scusa ma ho letto solo dopo..
Ho avviato l'inetd.
Effettivamente da una scansione dall'esterno le porte aperte sono quelle del router, utilizzo un router
, in locale invece ho un paio di servizi attivi e in ascolto dove solo time adesso è presente in /etc/inetd.conf.
nmap 192.168.0.30 eth0 ...
22/tcp open ssh
37/tcp open time
974/tcp open unknown
La mia perplessità nasce dall'ignoranza, la porta random che al momento è la 974 è la porta che usa il server inetd? perchè non è presente all'interno del suo file di configurazione e sparisce se disabilito inetd.
Inviato: gio 3 ago 2006, 18:33
da Paoletta
beh, io proverei con il comando che ti ha dato federico, se è inetd lo lascerei vivere e mi proccuperei solo di non far raggiungere la mia macchina dall'esterno...settando a dovere il fw del router!
Inviato: gio 3 ago 2006, 18:51
da Paoletta
non è che in inetd.conf hai qualcosa di decommentato oltre a time ed auth?
Inviato: gio 3 ago 2006, 19:34
da DaNiMoTh
Ma se non usa inetd ( a quanto pare ), perche` tenerlo avviato?