LINUX.ORG.RU
ФорумAdmin

Linux Mint рандомный порт открыт эпизодически

 , , , ,


0

2

Поставил ради эксперимента минт. В лайв сиди была такая же фигня как и ниже, однако я счел это происком живого образа, которому нужно же поднимать дистр на дистровотче... Суть в том, что при проверке портов на открытие, почти в любой момент времени торчат 1-2 порта наружу. Для чего это сделано я не понял, но настораживает все равно, ибо в дебиане такого не было. Скриншот: 

elemashine@laptop:~ > nmap -p 80-55000 localhost && sudo netstat --numeric-ports -ap |grep tcp

Starting Nmap 6.40 ( http://nmap.org ) at 2014-09-29 02:38 ALMT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00053s latency).
Not shown: 54916 closed ports
PORT      STATE SERVICE
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
631/tcp   open  ipp
51823/tcp open  unknown
52446/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 1.07 seconds
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      2389/dnsmasq    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1489/cupsd      
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      543/smbd        
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      543/smbd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1489/cupsd      
tcp6       0      0 :::445                  :::*                    LISTEN      543/smbd        
tcp6       0      0 :::139                  :::*                    LISTEN      543/smbd        
tcp6       1      0 ::1:56939               ::1:631                 CLOSE_WAIT  1132/cups-browsed
Если это нормальная реакция, либо безопасная фича, уделите минутку на пару слов в тред. Спасибо, товарищи!

★★★★★

Ответ на: комментарий от anonymous 
elemashine@laptop:~ > MYPORT=$(nmap -p 1000-56000 localhost|grep -m1 "^[0-9].*"|sed -e "s/\/.*//"); printf "Порт открыт: $MYPORT\n"; sudo lsof -P -i|grep  "$MYPORT"
Порт открыт: 54094
elemashine@laptop:~ >

В теории, это фуррифокс(lsof -i показывает на него в подобном диапазоне), хотя на тот самый порт не ловится ничего. Да и до сего момента я не встречал ни в одном дистре, чтобы nmap ловил открытые порты от бравзера. Но и в целом - порты дико-бешено быстро меняются. Опять же у разбитого корыта...

minakov ★★★★★
() автор топика

auditd позволяет логировать системные вызовы. Я бы посмотрел в эту сторону

З.Ы. а у тебя случайно nfs не запущен?

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от minakov

Почему бы tcpdump-ом не взглянуть?

И не сам ли nmap открывает эти tcp-порты? Как-нибудь он же щупает открытые tcp порты.

anto215 ★★
()

Во первых, localhost (::1 он же) — это не «наружу». Во вторых, если я правильно разпарсил выхлоп, это происки cups (print daemon) — разшареные через avahi принтеры?.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от router

Нет, я как с лайва загрузился, поставил наголо, сразу стал проверять - даже sshd не запускал(!).

minakov ★★★★★
() автор топика
Ответ на: комментарий от anto215

Не знаю, что можно в этих ужасных вайршарках и подобных увидеть - http://i.imgur.com/EhNfltG.png Там собственно порт, который обнаружился nmap'ом. Если бы nmap дергал порты, которые сканирует, 1 захлебнулся бы

minakov ★★★★★
() автор топика
Ответ на: комментарий от beastie

В сети нет принтеров, если только не шалит самба и в провайдерской сети не шарится в русском и английском смыслах

minakov ★★★★★
() автор топика
Ответ на: комментарий от minakov

Это 47213 нашел? А 47213 > 27499 и 47213 > 27431 это кто щупает, по твоему?

Вот он сам себя и нашел. Есть другое объяснение?

anto215 ★★
()

Торрент клиент недавно на этом ip не запускал?

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin