Come capire di che servizio si tratta?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
bluecircle
Linux 0.x
Linux 0.x
Messaggi: 9
Iscritto il: gio 3 ago 2006, 15:30
Slackware: 13.1-x86_64

Come capire di che servizio si tratta?

Messaggio da bluecircle »

Ciao a tutti,
mi sono accorto da un pò che sulla mia slack 10.2 facendo un nmap localhost oltre alle porte dei servizi che ho abilitato io.. c'è anche qualche servizio o demone che gira su una porta non standard.
Ad ogni riavvio però la porta è diversa 883 8xx 6xx ecc, quindi anche filtrandola con iptables al primo riavvio la porta è cambiata..
Come posso fare per capire a cosa fa rifermento questa porta variabile?

Avatar utente
Heidegger
Linux 2.x
Linux 2.x
Messaggi: 246
Iscritto il: lun 28 mar 2005, 0:00
Località: Roma
Contatta:

Messaggio da Heidegger »

Ciao un metodo semplice semplice c'è:

telnet 127.0.0.1 xxx
dove xxx non è un film a luci rosse ma il numero di porta random che viene aperto dal servizio che non conosci.
Teoricamente dovresti poter vedere di cosa si tratta.
Ciao

fede_home
Linux 0.x
Linux 0.x
Messaggi: 53
Iscritto il: gio 6 gen 2005, 0:00
Località: Mondavio (pu)

Messaggio da fede_home »

ciao bluecircle,
io proverei con un

Codice: Seleziona tutto

netstat --numeric-ports -v -p -a
dove
  • -v, --verbose be verbose
    --numeric-ports don't resolve port names
    -p, --programs display PID/Program name for sockets
    -a, --all, --listening display all sockets (default: connected)
una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:

Codice: Seleziona tutto

ps -aux
e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri :)

Federico

bluecircle
Linux 0.x
Linux 0.x
Messaggi: 9
Iscritto il: gio 3 ago 2006, 15:30
Slackware: 13.1-x86_64

Messaggio da bluecircle »

Heidegger ha scritto:Ciao un metodo semplice semplice c'è:

telnet 127.0.0.1 xxx
dove xxx non è un film a luci rosse

:D Grazie per la risposta.

facendo come dici tu ottengo Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
Escape character is '^]'
e si ferma li.

bluecircle
Linux 0.x
Linux 0.x
Messaggi: 9
Iscritto il: gio 3 ago 2006, 15:30
Slackware: 13.1-x86_64

Messaggio da bluecircle »

fede_home ha scritto:ciao bluecircle,
io proverei con un

Codice: Seleziona tutto

netstat --numeric-ports -v -p -a
dove
  • -v, --verbose be verbose
    --numeric-ports don't resolve port names
    -p, --programs display PID/Program name for sockets
    -a, --all, --listening display all sockets (default: connected)
una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:

Codice: Seleziona tutto

ps -aux
e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri :)

Federico
Grazie Federico 8)
col netstat da te suggerito ottengo

Codice: Seleziona tutto

tcp        0      0 0.0.0.0:626             0.0.0.0:*               LISTEN      4690/inetd

dove 4690 è l'id del processo PID
poi sempre come mi hai suggerito ho dato un ps -aux

Codice: Seleziona tutto

root      4690  0.0  0.0   1684   712 ?        Ss   15:35   0:00 /usr/sbin/inetd
Qiomdo dvrebbe trattarsi inequivocabilmente del servizio inetd.
Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?

Davide
Ultima modifica di bluecircle il gio 3 ago 2006, 16:27, modificato 2 volte in totale.

bluecircle
Linux 0.x
Linux 0.x
Messaggi: 9
Iscritto il: gio 3 ago 2006, 15:30
Slackware: 13.1-x86_64

Messaggio da bluecircle »

Adesso cerco più informazioni a riguardo grazie ;)

fede_home
Linux 0.x
Linux 0.x
Messaggi: 53
Iscritto il: gio 6 gen 2005, 0:00
Località: Mondavio (pu)

Messaggio da fede_home »

ciao,
mi spiace ma qui non posso più aiutarti. Potresti alzare un firewall ma stiamo parlando di firewallare inetd.... :shock: .
Cerca prima di capire bene che cosa fa il demone in generale...
su questo forum c'e' gente più brava di me per questo argomento.


ciao Federico

Avatar utente
DaNiMoTh
Linux 3.x
Linux 3.x
Messaggi: 941
Iscritto il: mar 30 nov 2004, 0:00
Località: irc.syrolnet.org /// #slackware
Contatta:

Messaggio da DaNiMoTh »

E semplicemente non facendo partire il demone inetd ( se non ti serve )

con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3975
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?
innanzitutto devi capire se è aperta verso l'esterno...perchè facendo nmap localhost come se tu facessi nmap 127.0.0.1, che è l'interfaccia di loopback (e dall'esterno come fai a vederla)?
Molto probabilmente l'unica cosa raggiugibile dall'esterno è l'ip pubblico del tuo router, che sarà connesso al tuo computer tramite un'interfaccia di rete (eth0, eth1); un cracker in gambissima potrebbe (con basse probabilità) bypassare il tuo router ed avere accesso alla tua macchina (ma poi perchè? mica sei la NASA, un cracker ha bisogno di obiettivi). per evitare questo remoto caso allora fai nmap ip_interfaccia_con_cui_sei_connesso_al_router
per scoprire che cosa è con basse probabilità visibile dall'esterno; tutto questo prima di togliere eseguibiltà ad inetd;
ciao
Ultima modifica di Paoletta il gio 3 ago 2006, 17:19, modificato 1 volta in totale.

bluecircle
Linux 0.x
Linux 0.x
Messaggi: 9
Iscritto il: gio 3 ago 2006, 15:30
Slackware: 13.1-x86_64

Messaggio da bluecircle »

DaNiMoTh ha scritto:E semplicemente non facendo partire il demone inetd ( se non ti serve )

con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?
Ciao, non avevo servizi attivi in /etc/inetd.conf , se non time ed auth, per ora ho risolto disabilitando l'avvio del demone.
Grazie

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3975
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

per me ti conviene leggere sopra...ed imparar qualcosa di nuovo :wink:

bluecircle
Linux 0.x
Linux 0.x
Messaggi: 9
Iscritto il: gio 3 ago 2006, 15:30
Slackware: 13.1-x86_64

Messaggio da bluecircle »

Paoletta ha scritto:per me ti conviene leggere sopra...ed imparar qualcosa di nuovo :wink:
Ciao scusa ma ho letto solo dopo.. :D

Ho avviato l'inetd.
Effettivamente da una scansione dall'esterno le porte aperte sono quelle del router, utilizzo un router ;), in locale invece ho un paio di servizi attivi e in ascolto dove solo time adesso è presente in /etc/inetd.conf.
nmap 192.168.0.30 eth0 ...
22/tcp open ssh
37/tcp open time
974/tcp open unknown
La mia perplessità nasce dall'ignoranza, la porta random che al momento è la 974 è la porta che usa il server inetd? perchè non è presente all'interno del suo file di configurazione e sparisce se disabilito inetd.

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3975
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

beh, io proverei con il comando che ti ha dato federico, se è inetd lo lascerei vivere e mi proccuperei solo di non far raggiungere la mia macchina dall'esterno...settando a dovere il fw del router!

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3975
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

non è che in inetd.conf hai qualcosa di decommentato oltre a time ed auth?

Avatar utente
DaNiMoTh
Linux 3.x
Linux 3.x
Messaggi: 941
Iscritto il: mar 30 nov 2004, 0:00
Località: irc.syrolnet.org /// #slackware
Contatta:

Messaggio da DaNiMoTh »

Ma se non usa inetd ( a quanto pare ), perche` tenerlo avviato?

Rispondi