поломали

0

1

centos5. openvz. в контейнере висит сайт.

сегодня решил просканить нмапом сайт, нашёл 2 левых открытых порта. при коннекте устанавливает нормально соединение, ничего не шлёт, после посылки каких-либо данных - через 0.5-1 сек. соединение сбрасывает

среди установленных соединений - его нету

среди слушающих процессов - его нету

в iptables -t nat на хостмашине - порта такого нету

lsof -i -n - порта такого нету

tcpdump -nnn port 1311 на хост машине, коннект с другого сервера на этот порт - коннект идёт, тспдамп молчит.

как можно узнать кто/что слушает этот порт? мля, что делать.

Ссылка

←	Debian. Перенос системы на другое железо.

отслеживать изменения файла в реальном времени

→

при коннекте устанавливает нормально соединение

коннект идёт, тспдамп молчит

Мне вот интересно как вы на глаз определили, что соединение устанавливается?
Дамп на своей стороне посмотрите в это время

zolden ★★★★★
(18.07.11 17:28:11 MSK)

Ответ на: комментарий от zolden 18.07.11 17:28:11 MSK

telnet + Escape character is '^]'. как бэ так вот определяется.

в дампе ничего, кроме исходящих от меня данных я не увижу.

loginrl103
(18.07.11 17:32:25 MSK) автор топика

так может, это не внутри контейнера, а на ноде? Порты какие?

gorilych ★★
(18.07.11 17:46:31 MSK)

Ответ на: комментарий от gorilych 18.07.11 17:46:31 MSK

lsof на ноде и запускался, порты 1311/633.

loginrl103
(18.07.11 17:48:26 MSK) автор топика

Ответ на: комментарий от loginrl103 18.07.11 17:32:25 MSK

С учётом того, что telnet это TCPшный протокол, немножко странно что вы не видите ACK пакетов, но видите приглашение.
У меня два варианта:
- проверяйте свои настройки которыми дампите
- это концептуальный нановирус, он запатчил ваш tcpdump и ваш telnet

zolden ★★★★★
(18.07.11 17:50:56 MSK)

Ответ на: комментарий от loginrl103 18.07.11 17:48:26 MSK

попробуй временно удалить IP из контейнера, проверь идёт коннект или нет. Такое впечатление, что порты случаются на каком-то промежуточном хосте (NAT,router, etc).

gorilych ★★
(18.07.11 17:52:46 MSK)

Ссылка

Ответ на: комментарий от zolden 18.07.11 17:50:56 MSK

неизвестные порты tcp. причём тут аск пакеты, telnet показывает факт _установленного_ tcp соединения. каков смысл мне видеть ack пакеты, если самих данных нету. telnet пытается интерпретировать все поступающие данные, если бы получал какие-то данные с порта - увидел бы иероглифы на экране.

loginrl103
(18.07.11 17:55:05 MSK) автор топика

Ответ на: комментарий от loginrl103 18.07.11 17:55:05 MSK

>tcpdump -nnn port 1311 на хост машине, коннект с другого сервера на этот порт - коннект идёт, тспдамп молчит.

telnet показывает факт _установленного_ tcp соединения.

TCP-handshake в _tcpdump_ на сервере видите или нет?

markevichus ★★★
(18.07.11 18:25:18 MSK)

Ответ на: комментарий от loginrl103 18.07.11 17:55:05 MSK

думается мне что эта загадочная история закончится весьма скучно и порты действительно перенаправляются на промежуточной железке.запустите что ли netcat какой на этом порту в качеств есервера и посмотрите дампы еще раз

zolden ★★★★★
(18.07.11 18:31:48 MSK)

Ответ на: комментарий от markevichus 18.07.11 18:25:18 MSK

да, вижу

loginrl103
(18.07.11 18:35:43 MSK) автор топика

Ссылка

Ответ на: комментарий от zolden 18.07.11 18:31:48 MSK

не так далеки от истины: сервер, доставшийся от предыдущего админа, и с которого происходило сканирование другого сервера, имел на себе поднятый интерфейсом с этим же адресом [сайта]. собсно, скан проходил самого себя.

смысла от нетката никакого, если бы был руткит то пакеты на данный порт он ловил бы на себя, и до приложения они бы не доходили. дампы ничего не покажут по простой причине - как правило руткиты ждут ключевые слова/пароли прежде чем что-то сделать [дать шелл].

loginrl103
(18.07.11 18:40:24 MSK) автор топика