LINUX.ORG.RU
ФорумAdmin

поломали


0

1

centos5. openvz. в контейнере висит сайт.

сегодня решил просканить нмапом сайт, нашёл 2 левых открытых порта. при коннекте устанавливает нормально соединение, ничего не шлёт, после посылки каких-либо данных - через 0.5-1 сек. соединение сбрасывает

среди установленных соединений - его нету

среди слушающих процессов - его нету

в iptables -t nat на хостмашине - порта такого нету

lsof -i -n - порта такого нету

tcpdump -nnn port 1311 на хост машине, коннект с другого сервера на этот порт - коннект идёт, тспдамп молчит.

как можно узнать кто/что слушает этот порт? мля, что делать.

при коннекте устанавливает нормально соединение

коннект идёт, тспдамп молчит


Мне вот интересно как вы на глаз определили, что соединение устанавливается?
Дамп на своей стороне посмотрите в это время

zolden ★★★★★ ()
Ответ на: комментарий от zolden

telnet + Escape character is '^]'. как бэ так вот определяется.

в дампе ничего, кроме исходящих от меня данных я не увижу.

loginrl103 ()

так может, это не внутри контейнера, а на ноде? Порты какие?

gorilych ★★ ()
Ответ на: комментарий от loginrl103

С учётом того, что telnet это TCPшный протокол, немножко странно что вы не видите ACK пакетов, но видите приглашение.
У меня два варианта:
- проверяйте свои настройки которыми дампите
- это концептуальный нановирус, он запатчил ваш tcpdump и ваш telnet

zolden ★★★★★ ()
Ответ на: комментарий от loginrl103

попробуй временно удалить IP из контейнера, проверь идёт коннект или нет. Такое впечатление, что порты случаются на каком-то промежуточном хосте (NAT,router, etc).

gorilych ★★ ()
Ответ на: комментарий от zolden

неизвестные порты tcp. причём тут аск пакеты, telnet показывает факт _установленного_ tcp соединения. каков смысл мне видеть ack пакеты, если самих данных нету. telnet пытается интерпретировать все поступающие данные, если бы получал какие-то данные с порта - увидел бы иероглифы на экране.

loginrl103 ()
Ответ на: комментарий от loginrl103

>tcpdump -nnn port 1311 на хост машине, коннект с другого сервера на этот порт - коннект идёт, тспдамп молчит.

telnet показывает факт _установленного_ tcp соединения.


TCP-handshake в _tcpdump_ на сервере видите или нет?

markevichus ★★★ ()
Ответ на: комментарий от loginrl103

думается мне что эта загадочная история закончится весьма скучно и порты действительно перенаправляются на промежуточной железке.запустите что ли netcat какой на этом порту в качеств есервера и посмотрите дампы еще раз

zolden ★★★★★ ()
Ответ на: комментарий от zolden

не так далеки от истины: сервер, доставшийся от предыдущего админа, и с которого происходило сканирование другого сервера, имел на себе поднятый интерфейсом с этим же адресом [сайта]. собсно, скан проходил самого себя.

смысла от нетката никакого, если бы был руткит то пакеты на данный порт он ловил бы на себя, и до приложения они бы не доходили. дампы ничего не покажут по простой причине - как правило руткиты ждут ключевые слова/пароли прежде чем что-то сделать [дать шелл].

loginrl103 ()
ss state listening sport = :1311 -np

на вм что показывает?

anton_jugatsu ★★★★ ()
Ответ на: комментарий от anton_jugatsu

ничего. собсно проблема решилась уже. в середине треда написал об этом )

loginrl103 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.