Come capire di che servizio si tratta?
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
-
- Linux 0.x
- Messaggi: 9
- Iscritto il: gio 3 ago 2006, 15:30
- Slackware: 13.1-x86_64
Come capire di che servizio si tratta?
Ciao a tutti,
mi sono accorto da un pò che sulla mia slack 10.2 facendo un nmap localhost oltre alle porte dei servizi che ho abilitato io.. c'è anche qualche servizio o demone che gira su una porta non standard.
Ad ogni riavvio però la porta è diversa 883 8xx 6xx ecc, quindi anche filtrandola con iptables al primo riavvio la porta è cambiata..
Come posso fare per capire a cosa fa rifermento questa porta variabile?
mi sono accorto da un pò che sulla mia slack 10.2 facendo un nmap localhost oltre alle porte dei servizi che ho abilitato io.. c'è anche qualche servizio o demone che gira su una porta non standard.
Ad ogni riavvio però la porta è diversa 883 8xx 6xx ecc, quindi anche filtrandola con iptables al primo riavvio la porta è cambiata..
Come posso fare per capire a cosa fa rifermento questa porta variabile?
ciao bluecircle,
io proverei con un
dove
e accertati di quale porcesso stiamo parlando....
magari fai sapere per i posteri
Federico
io proverei con un
Codice: Seleziona tutto
netstat --numeric-ports -v -p -a
- -v, --verbose be verbose
--numeric-ports don't resolve port names
-p, --programs display PID/Program name for sockets
-a, --all, --listening display all sockets (default: connected)
Codice: Seleziona tutto
ps -aux
magari fai sapere per i posteri
Federico
-
- Linux 0.x
- Messaggi: 9
- Iscritto il: gio 3 ago 2006, 15:30
- Slackware: 13.1-x86_64
-
- Linux 0.x
- Messaggi: 9
- Iscritto il: gio 3 ago 2006, 15:30
- Slackware: 13.1-x86_64
Grazie Federicofede_home ha scritto:ciao bluecircle,
io proverei con undoveCodice: Seleziona tutto
netstat --numeric-ports -v -p -a
una volta trovato l'ID del processo che usa le porte misteriore, dai un bel:
- -v, --verbose be verbose
--numeric-ports don't resolve port names
-p, --programs display PID/Program name for sockets
-a, --all, --listening display all sockets (default: connected)e accertati di quale porcesso stiamo parlando....Codice: Seleziona tutto
ps -aux
magari fai sapere per i posteri
Federico
col netstat da te suggerito ottengo
Codice: Seleziona tutto
tcp 0 0 0.0.0.0:626 0.0.0.0:* LISTEN 4690/inetd
dove 4690 è l'id del processo PID
poi sempre come mi hai suggerito ho dato un ps -aux
Codice: Seleziona tutto
root 4690 0.0 0.0 1684 712 ? Ss 15:35 0:00 /usr/sbin/inetd
Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?
Davide
Ultima modifica di bluecircle il gio 3 ago 2006, 16:27, modificato 2 volte in totale.
-
- Linux 0.x
- Messaggi: 9
- Iscritto il: gio 3 ago 2006, 15:30
- Slackware: 13.1-x86_64
- Paoletta
- Staff
- Messaggi: 3975
- Iscritto il: lun 25 apr 2005, 0:00
- Slackware: 14.2 - 64 bit
- Desktop: fluxbox
- Località: Varese
innanzitutto devi capire se è aperta verso l'esterno...perchè facendo nmap localhost come se tu facessi nmap 127.0.0.1, che è l'interfaccia di loopback (e dall'esterno come fai a vederla)?Adesso che ho identificato la causa di questa porta aperta verso l'esterno c'è un modo per renderla fissa e filtrarla o chiuderla del tutto verso l'esterno?
Molto probabilmente l'unica cosa raggiugibile dall'esterno è l'ip pubblico del tuo router, che sarà connesso al tuo computer tramite un'interfaccia di rete (eth0, eth1); un cracker in gambissima potrebbe (con basse probabilità) bypassare il tuo router ed avere accesso alla tua macchina (ma poi perchè? mica sei la NASA, un cracker ha bisogno di obiettivi). per evitare questo remoto caso allora fai nmap ip_interfaccia_con_cui_sei_connesso_al_router
per scoprire che cosa è con basse probabilità visibile dall'esterno; tutto questo prima di togliere eseguibiltà ad inetd;
ciao
Ultima modifica di Paoletta il gio 3 ago 2006, 17:19, modificato 1 volta in totale.
-
- Linux 0.x
- Messaggi: 9
- Iscritto il: gio 3 ago 2006, 15:30
- Slackware: 13.1-x86_64
Ciao, non avevo servizi attivi in /etc/inetd.conf , se non time ed auth, per ora ho risolto disabilitando l'avvio del demone.DaNiMoTh ha scritto:E semplicemente non facendo partire il demone inetd ( se non ti serve )
con
/etc/rc.d/rc.inetd stop
chmod -x /etc/rc.d/rc.inetd ( spero di aver azzeccato il nome ) ?
Grazie
-
- Linux 0.x
- Messaggi: 9
- Iscritto il: gio 3 ago 2006, 15:30
- Slackware: 13.1-x86_64
Ciao scusa ma ho letto solo dopo..Paoletta ha scritto:per me ti conviene leggere sopra...ed imparar qualcosa di nuovo
Ho avviato l'inetd.
Effettivamente da una scansione dall'esterno le porte aperte sono quelle del router, utilizzo un router , in locale invece ho un paio di servizi attivi e in ascolto dove solo time adesso è presente in /etc/inetd.conf.
nmap 192.168.0.30 eth0 ...
22/tcp open ssh
37/tcp open time
974/tcp open unknown
La mia perplessità nasce dall'ignoranza, la porta random che al momento è la 974 è la porta che usa il server inetd? perchè non è presente all'interno del suo file di configurazione e sparisce se disabilito inetd.