Angeblich offene ports bei Debain Woody

Bernhard Sadlowski sadlowsk at Mathematik.Uni-Bielefeld.DE
Mon Mar 4 19:01:08 CET 2002 

Ich scanne mit nmap (oder auch nessus) 2 rechner. Scanhost ist meine
Arbeitsstation "host-a" (woody, Linux 2.4.17).

 host-a 
   |
+----------+
¦cisco 2948|-- ... Internet ... -- host-c
+----------+
   |
 host-b

host-a ist meine Arbeitsstation in der Firma (woody, Linux 2.4.17)
host-b ist ein Rechner im LAN der Firma (woody, Linux 2.2.20)
host-c ist mein Router zuhause (woody, Linux 2.4.17)

Mein Router hat mit Hilfe von ipchains fast alle ports gesperrt. Port 53/udp
ist offen wegen DNS und natürlich noch 22 für ssh. Alles andere, auch port
67/udp (bootps) ist laut netstat oder lsof nicht offen.

Ich hatte auf dem Router vorher auch Linux 2.2.20 laufen gehabt, und da
wurden auch die anderen angezeigten Ports > 10000 als angeblich offen
gemeldet, die ich zur Zeit auf host-b sehe.

Ebenfalls sehe ich durch den scan die gleichen angeblich offenen ports auf
Suse Linux 7.1 mit Kernel 2.2.19. Also scheint das vor allem Kernels 2.2.x
zu betreffen. Bei Kernel 2.4.17 wird aber auch noch Port 67/udp gemeldet!

Wieso zeigt also nmap (und auch damit nessus) das an? Ich sehe die
Möglichkeiten:

1) Trojaner + Rootkits sind da drauf, die u.U. auch nur sporadisch die Ports
aufmachen. (unwahrscheinlich, da alles relativ frisch installierte Rechner
sind und es auch alle hier arbeitenden Suse 7.1 Rechner betrifft).

2) Sicherheitsfeature der Linux Kernels die auf diesen Ports Trojaner
vortäuschen?

3) Bug in den Linux Kernels?

4) Bug in der nmap Version?

5) ?

Was sagt das untere nmap Kommando bei euch?

----------- 8< --------------------------------------------------------
host-a# nmap -sU -v -p53,67,10498,27444,34555 host-b host-c

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Host host-b.localdomain (xxx.xxx.xxx.xxx) appears to be up ...
good.
Initiating UDP Scan against host-b.localdomain (xxx.xxx.xxx.xxx)
The UDP Scan took 0 seconds to scan 6 ports.
Adding open port 67/udp
Adding open port 18753/udp
Adding open port 27444/udp
Adding open port 53/udp
Adding open port 34555/udp
Adding open port 10498/udp
Interesting ports on host-b.localdomain (xxx.xxx.xxx.xxx):
Port       State       Service
53/udp     open        domain
67/udp     open        bootps
10498/udp  open        unknown
18753/udp  open        unknown
27444/udp  open        Trinoo_Bcast
34555/udp  open        unknown

Host pXXXXXXXX.dip.t-dialin.net (xxx.xxx.xxx.xxx) appears to be up ... good.
Initiating UDP Scan against pXXXXXXXX.dip.t-dialin.net (xxx.xxx.xxx.xxx)
The UDP Scan took 1 second to scan 6 ports.
Adding open port 53/udp
Adding open port 67/udp

Interesting ports on pXXXXXXXX.dip.t-dialin.net (xxx.xxx.xxx.xxx):
(The 4 ports scanned but not shown below are in state: closed)
Port       State       Service
53/udp     open        domain
67/udp     open        bootps

Nmap run completed -- 2 IP addresses (2 hosts up) scanned in 3 seconds

host-a# uname -mrspv
Linux 2.4.17-686 #2 Sat Dec 22 21:58:49 EST 2001 i686 unknown
 
host-b# uname -mrspv
Linux 2.2.20 #1 Mon Dec 31 07:05:08 EST 2001 i586 unknown

host-c# uname -mrspv
Linux 2.4.17-386 #2 Sat Dec 22 21:55:21 EST 2001 i486 unknown

host-b# lsof -i :53
COMMAND   PID USER   FD   TYPE DEVICE SIZE NODE NAME
named   11292 root   20u  IPv4  93280       UDP localhost:domain
named   11292 root   21u  IPv4  93281       TCP localhost:domain (LISTEN)
named   11292 root   22u  IPv4  93282       UDP host-b.localdomain:domain
named   11292 root   23u  IPv4  93283       TCP host-b.localdomain:domain (LISTEN)

host-b:~# lsof -i :67
[kein output]

So sieht ein netstat -na auf host-b aus:

host-b# netstat -na | egrep 'tcp|udp' | sed -e 's/[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*:/x.x.x.x:/g'
tcp        0      0 x.x.x.x:22      x.x.x.x:58036   ESTABLISHED
tcp        0      0 x.x.x.x:53      x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:53            x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:1220            x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:2049            x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:1216            x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:1213            x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:111             x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:1201    x.x.x.x:22       ESTABLISHED
tcp        0      0 x.x.x.x:1200    x.x.x.x:22       ESTABLISHED
tcp        0      0 x.x.x.x:22              x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:25              x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:37              x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:13              x.x.x.x:*               LISTEN
tcp        0      0 x.x.x.x:9               x.x.x.x:*               LISTEN
udp        0      0 x.x.x.x:1772            x.x.x.x:*
udp        0      0 x.x.x.x:53      x.x.x.x:*
udp        0      0 x.x.x.x:53            x.x.x.x:*
udp        0      0 x.x.x.x:799             x.x.x.x:*
udp        0      0 x.x.x.x:800             x.x.x.x:*
udp        0      0 x.x.x.x:1123            x.x.x.x:*
udp        0      0 x.x.x.x:2049            x.x.x.x:*
udp        0      0 x.x.x.x:1118            x.x.x.x:*
udp        0      0 x.x.x.x:1116            x.x.x.x:*
udp        0      0 x.x.x.x:811             x.x.x.x:*
udp        0      0 x.x.x.x:111             x.x.x.x:*
udp        0      0 x.x.x.x:9               x.x.x.x:*

----------- 8< --------------------------------------------------------

Bernhard

More information about the Linux mailing list