Angeblich offene ports bei Debain Woody
Bernhard Sadlowski
sadlowsk at Mathematik.Uni-Bielefeld.DE
Mon Mar 4 19:01:08 CET 2002
Ich scanne mit nmap (oder auch nessus) 2 rechner. Scanhost ist meine
Arbeitsstation "host-a" (woody, Linux 2.4.17).
host-a
|
+----------+
¦cisco 2948|-- ... Internet ... -- host-c
+----------+
|
host-b
host-a ist meine Arbeitsstation in der Firma (woody, Linux 2.4.17)
host-b ist ein Rechner im LAN der Firma (woody, Linux 2.2.20)
host-c ist mein Router zuhause (woody, Linux 2.4.17)
Mein Router hat mit Hilfe von ipchains fast alle ports gesperrt. Port 53/udp
ist offen wegen DNS und natürlich noch 22 für ssh. Alles andere, auch port
67/udp (bootps) ist laut netstat oder lsof nicht offen.
Ich hatte auf dem Router vorher auch Linux 2.2.20 laufen gehabt, und da
wurden auch die anderen angezeigten Ports > 10000 als angeblich offen
gemeldet, die ich zur Zeit auf host-b sehe.
Ebenfalls sehe ich durch den scan die gleichen angeblich offenen ports auf
Suse Linux 7.1 mit Kernel 2.2.19. Also scheint das vor allem Kernels 2.2.x
zu betreffen. Bei Kernel 2.4.17 wird aber auch noch Port 67/udp gemeldet!
Wieso zeigt also nmap (und auch damit nessus) das an? Ich sehe die
Möglichkeiten:
1) Trojaner + Rootkits sind da drauf, die u.U. auch nur sporadisch die Ports
aufmachen. (unwahrscheinlich, da alles relativ frisch installierte Rechner
sind und es auch alle hier arbeitenden Suse 7.1 Rechner betrifft).
2) Sicherheitsfeature der Linux Kernels die auf diesen Ports Trojaner
vortäuschen?
3) Bug in den Linux Kernels?
4) Bug in der nmap Version?
5) ?
Was sagt das untere nmap Kommando bei euch?
----------- 8< --------------------------------------------------------
host-a# nmap -sU -v -p53,67,10498,27444,34555 host-b host-c
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Host host-b.localdomain (xxx.xxx.xxx.xxx) appears to be up ...
good.
Initiating UDP Scan against host-b.localdomain (xxx.xxx.xxx.xxx)
The UDP Scan took 0 seconds to scan 6 ports.
Adding open port 67/udp
Adding open port 18753/udp
Adding open port 27444/udp
Adding open port 53/udp
Adding open port 34555/udp
Adding open port 10498/udp
Interesting ports on host-b.localdomain (xxx.xxx.xxx.xxx):
Port State Service
53/udp open domain
67/udp open bootps
10498/udp open unknown
18753/udp open unknown
27444/udp open Trinoo_Bcast
34555/udp open unknown
Host pXXXXXXXX.dip.t-dialin.net (xxx.xxx.xxx.xxx) appears to be up ... good.
Initiating UDP Scan against pXXXXXXXX.dip.t-dialin.net (xxx.xxx.xxx.xxx)
The UDP Scan took 1 second to scan 6 ports.
Adding open port 53/udp
Adding open port 67/udp
Interesting ports on pXXXXXXXX.dip.t-dialin.net (xxx.xxx.xxx.xxx):
(The 4 ports scanned but not shown below are in state: closed)
Port State Service
53/udp open domain
67/udp open bootps
Nmap run completed -- 2 IP addresses (2 hosts up) scanned in 3 seconds
host-a# uname -mrspv
Linux 2.4.17-686 #2 Sat Dec 22 21:58:49 EST 2001 i686 unknown
host-b# uname -mrspv
Linux 2.2.20 #1 Mon Dec 31 07:05:08 EST 2001 i586 unknown
host-c# uname -mrspv
Linux 2.4.17-386 #2 Sat Dec 22 21:55:21 EST 2001 i486 unknown
host-b# lsof -i :53
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 11292 root 20u IPv4 93280 UDP localhost:domain
named 11292 root 21u IPv4 93281 TCP localhost:domain (LISTEN)
named 11292 root 22u IPv4 93282 UDP host-b.localdomain:domain
named 11292 root 23u IPv4 93283 TCP host-b.localdomain:domain (LISTEN)
host-b:~# lsof -i :67
[kein output]
So sieht ein netstat -na auf host-b aus:
host-b# netstat -na | egrep 'tcp|udp' | sed -e 's/[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*:/x.x.x.x:/g'
tcp 0 0 x.x.x.x:22 x.x.x.x:58036 ESTABLISHED
tcp 0 0 x.x.x.x:53 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:53 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:1220 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:2049 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:1216 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:1213 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:111 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:1201 x.x.x.x:22 ESTABLISHED
tcp 0 0 x.x.x.x:1200 x.x.x.x:22 ESTABLISHED
tcp 0 0 x.x.x.x:22 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:25 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:37 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:13 x.x.x.x:* LISTEN
tcp 0 0 x.x.x.x:9 x.x.x.x:* LISTEN
udp 0 0 x.x.x.x:1772 x.x.x.x:*
udp 0 0 x.x.x.x:53 x.x.x.x:*
udp 0 0 x.x.x.x:53 x.x.x.x:*
udp 0 0 x.x.x.x:799 x.x.x.x:*
udp 0 0 x.x.x.x:800 x.x.x.x:*
udp 0 0 x.x.x.x:1123 x.x.x.x:*
udp 0 0 x.x.x.x:2049 x.x.x.x:*
udp 0 0 x.x.x.x:1118 x.x.x.x:*
udp 0 0 x.x.x.x:1116 x.x.x.x:*
udp 0 0 x.x.x.x:811 x.x.x.x:*
udp 0 0 x.x.x.x:111 x.x.x.x:*
udp 0 0 x.x.x.x:9 x.x.x.x:*
----------- 8< --------------------------------------------------------
Bernhard
More information about the Linux
mailing list