Repository 32bit  Forum
Repository 64bit  Wiki

Come capire di che servizio si tratta?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Come capire di che servizio si tratta?

Messaggioda bluecircle » gio ago 03, 2006 14:49

Ciao a tutti,
mi sono accorto da un pò che sulla mia slack 10.2 facendo un nmap localhost oltre alle porte dei servizi che ho abilitato io.. c'è anche qualche servizio o demone che gira su una porta non standard.
Ad ogni riavvio però la porta è diversa 883 8xx 6xx ecc, quindi anche filtrandola con iptables al primo riavvio la porta è cambiata..
Come posso fare per capire a cosa fa rifermento questa porta variabile?
bluecircle
Linux 1.0
Linux 1.0
 
Messaggi: 9
Iscritto il: gio ago 03, 2006 14:30
Slackware: 13.1-x86_64

Messaggioda Heidegger » gio ago 03, 2006 14:56

Ciao un metodo semplice semplice c'è:

telnet 127.0.0.1 xxx
dove xxx non è un film a luci rosse ma il numero di porta random che viene aperto dal servizio che non conosci.
Teoricamente dovresti poter vedere di cosa si tratta.
Ciao
Avatar utente
Heidegger
Linux 2.4
Linux 2.4
 
Messaggi: 246
Iscritto il: dom mar 27, 2005 23:00
Località: Roma

Messaggioda fede_home » gio ago 03, 2006 15:09

ciao bluecircle,
io proverei con un
Codice: Seleziona tutto
netstat --numeric-ports -v -p -a

dove
    -v, --verbose be verbose
    --numeric-ports don't resolve port names
    -p, --programs display PID/Program name for sockets
    -a, --all, --listening display all sockets (default: connected)

una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:
Codice: Seleziona tutto
ps -aux

e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri :)

Federico
fede_home
Linux 1.0
Linux 1.0
 
Messaggi: 53
Iscritto il: gio gen 06, 2005 0:00
Località: Mondavio (pu)

Messaggioda bluecircle » gio ago 03, 2006 15:12

Heidegger ha scritto:Ciao un metodo semplice semplice c'è:

telnet 127.0.0.1 xxx
dove xxx non è un film a luci rosse

:D Grazie per la risposta.

facendo come dici tu ottengo Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
Escape character is '^]'
e si ferma li.
bluecircle
Linux 1.0
Linux 1.0
 
Messaggi: 9
Iscritto il: gio ago 03, 2006 14:30
Slackware: 13.1-x86_64

Messaggioda bluecircle » gio ago 03, 2006 15:24

fede_home ha scritto:ciao bluecircle,
io proverei con un
Codice: Seleziona tutto
netstat --numeric-ports -v -p -a

dove
    -v, --verbose be verbose
    --numeric-ports don't resolve port names
    -p, --programs display PID/Program name for sockets
    -a, --all, --listening display all sockets (default: connected)

una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:
Codice: Seleziona tutto
ps -aux

e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri :)

Federico

Grazie Federico 8)
col netstat da te suggerito ottengo
Codice: Seleziona tutto
tcp        0      0 0.0.0.0:626             0.0.0.0:*               LISTEN      4690/inetd

dove 4690 è l'id del processo PID
poi sempre come mi hai suggerito ho dato un ps -aux
Codice: Seleziona tutto
root      4690  0.0  0.0   1684   712 ?        Ss   15:35   0:00 /usr/sbin/inetd

Qiomdo dvrebbe trattarsi inequivocabilmente del servizio inetd.
Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?

Davide
Ultima modifica di bluecircle il gio ago 03, 2006 15:27, modificato 2 volte in totale.
bluecircle
Linux 1.0
Linux 1.0
 
Messaggi: 9
Iscritto il: gio ago 03, 2006 14:30
Slackware: 13.1-x86_64

Messaggioda bluecircle » gio ago 03, 2006 15:25

Adesso cerco più informazioni a riguardo grazie ;)
bluecircle
Linux 1.0
Linux 1.0
 
Messaggi: 9
Iscritto il: gio ago 03, 2006 14:30
Slackware: 13.1-x86_64

Messaggioda fede_home » gio ago 03, 2006 15:40

ciao,
mi spiace ma qui non posso più aiutarti. Potresti alzare un firewall ma stiamo parlando di firewallare inetd.... :shock: .
Cerca prima di capire bene che cosa fa il demone in generale...
su questo forum c'e' gente più brava di me per questo argomento.


ciao Federico
fede_home
Linux 1.0
Linux 1.0
 
Messaggi: 53
Iscritto il: gio gen 06, 2005 0:00
Località: Mondavio (pu)

Messaggioda DaNiMoTh » gio ago 03, 2006 15:47

E semplicemente non facendo partire il demone inetd ( se non ti serve )

con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?
Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
 
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware

Messaggioda Paoletta » gio ago 03, 2006 16:14

Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?

innanzitutto devi capire se è aperta verso l'esterno...perchè facendo nmap localhost come se tu facessi nmap 127.0.0.1, che è l'interfaccia di loopback (e dall'esterno come fai a vederla)?
Molto probabilmente l'unica cosa raggiugibile dall'esterno è l'ip pubblico del tuo router, che sarà connesso al tuo computer tramite un'interfaccia di rete (eth0, eth1); un cracker in gambissima potrebbe (con basse probabilità) bypassare il tuo router ed avere accesso alla tua macchina (ma poi perchè? mica sei la NASA, un cracker ha bisogno di obiettivi). per evitare questo remoto caso allora fai nmap ip_interfaccia_con_cui_sei_connesso_al_router
per scoprire che cosa è con basse probabilità visibile dall'esterno; tutto questo prima di togliere eseguibiltà ad inetd;
ciao
Ultima modifica di Paoletta il gio ago 03, 2006 16:19, modificato 1 volta in totale.
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3893
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda bluecircle » gio ago 03, 2006 16:18

DaNiMoTh ha scritto:E semplicemente non facendo partire il demone inetd ( se non ti serve )

con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?

Ciao, non avevo servizi attivi in /etc/inetd.conf , se non time ed auth, per ora ho risolto disabilitando l'avvio del demone.
Grazie
bluecircle
Linux 1.0
Linux 1.0
 
Messaggi: 9
Iscritto il: gio ago 03, 2006 14:30
Slackware: 13.1-x86_64

Messaggioda Paoletta » gio ago 03, 2006 16:20

per me ti conviene leggere sopra...ed imparar qualcosa di nuovo :wink:
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3893
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda bluecircle » gio ago 03, 2006 16:46

Paoletta ha scritto:per me ti conviene leggere sopra...ed imparar qualcosa di nuovo :wink:

Ciao scusa ma ho letto solo dopo.. :D

Ho avviato l'inetd.
Effettivamente da una scansione dall'esterno le porte aperte sono quelle del router, utilizzo un router ;), in locale invece ho un paio di servizi attivi e in ascolto dove solo time adesso è presente in /etc/inetd.conf.
nmap 192.168.0.30 eth0 ...
22/tcp open ssh
37/tcp open time
974/tcp open unknown
La mia perplessità nasce dall'ignoranza, la porta random che al momento è la 974 è la porta che usa il server inetd? perchè non è presente all'interno del suo file di configurazione e sparisce se disabilito inetd.
bluecircle
Linux 1.0
Linux 1.0
 
Messaggi: 9
Iscritto il: gio ago 03, 2006 14:30
Slackware: 13.1-x86_64

Messaggioda Paoletta » gio ago 03, 2006 17:33

beh, io proverei con il comando che ti ha dato federico, se è inetd lo lascerei vivere e mi proccuperei solo di non far raggiungere la mia macchina dall'esterno...settando a dovere il fw del router!
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3893
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda Paoletta » gio ago 03, 2006 17:51

non è che in inetd.conf hai qualcosa di decommentato oltre a time ed auth?
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3893
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda DaNiMoTh » gio ago 03, 2006 18:34

Ma se non usa inetd ( a quanto pare ), perche` tenerlo avviato?
Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
 
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti