LINUX.ORG.RU
ФорумSecurity

Nmap и 1720/tcp open H323/Q.931: несовсем понял проблему

 ,


1

2

коллеги, добрый день! я здесь не так давно, может вопрос ранее и был, но...

есть VPS в цоде. На VPS крутится веб. Появилась инфа что имеется дырка. Проверил банальным nmap из внешки на белый ip веба, и итоге вижу что:

1720/tcp open H323/Q.931

На самой VPS netstat этот порт среди юзаемых не видит. Т.е. на самом VPS порт не юзается и по идее закрыт iptables. Про этот порт читал в гугле - понял 50 на 50

Вопрос: почему этот порт открыт? Насколько знаю перед VPS стоит ПАК ЦОДа... чего то я не понимаю.

Прошу помощи, куда мне копать?)

Спасибо!

А с voip у вас вообще на хосте что-то есть?

Если не видите в netstat - напишите хостеру, может что-то заNATили через ваш хост.

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

Нет ничего подобного. В том-то и дело. Чистый апач и nginx - открыты только 80 443 и нестандарт ssh. Больше ничего не должно быть.

Ved_mak
() автор топика

На самой VPS netstat этот порт среди юзаемых не видит.

Вывод нетстата весь покажи

Deleted
()
Ответ на: комментарий от Deleted

... прошу простить что пропал. Вопрос все еще актуален:

netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:29292               0.0.0.0:*                   LISTEN      7070/sshd
tcp        0      0 192.168.0.7:17230           0.0.0.0:*                   LISTEN      12937/openvpn
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      23269/nginx
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      7070/sshd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1360/master
tcp        0      0 0.0.0.0:10050               0.0.0.0:*                   LISTEN      19229/zabbix_agentd
tcp        0      0 :::29292                    :::*                        LISTEN      7070/sshd
tcp        0      0 :::81                       :::*                        LISTEN      399/httpd
tcp        0      0 :::22                       :::*                        LISTEN      7070/sshd
tcp        0      0 ::1:25                      :::*                        LISTEN      1360/master
tcp        0      0 :::10050                    :::*                        LISTEN      19229/zabbix_agentd
Ved_mak
() автор топика
Ответ на: комментарий от Black_Shadow

хм...

telnet hostname 1720
Trying hostname...
Connected to hostname.
Escape character is '^]'.
^C^[[A^CConnection closed by foreign host.

Все же к порту можно подцепиться, получается?...

Ved_mak
() автор топика
Ответ на: комментарий от Ved_mak

Чистый апач и nginx - открыты только 80 443 и нестандарт ssh. Больше ничего не должно быть.

Вон как минимум openvpn и zabbix еще есть.

Проскань nmap'ом еще раз. И есть ли какие-либо проброшенные порты? покажи iptables-save

Deleted
()
Ответ на: комментарий от Deleted

iptables: 

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s <тут адрес>/24 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s <тут адрес>/24 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -m comment --comment SSHban -j DROP
#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-upto 1/hour --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 900000 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 22 -m comment --comment SSH -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 29292 -s <тут адрес>/24 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 29292 -s <тут адрес>/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 29292 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -m comment --comment SSHban -j DROP
-A INPUT -p tcp -m tcp --dport 29292 -m state --state NEW -m hashlimit --hashlimit-upto 1/hour --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 900000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 29292 -m comment --comment SSH -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3389 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 17230 -s <тут адрес>/24 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i tun0 -o eth1 -j ACCEPT
-A FORWARD -o tun0 -i eth1 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Ved_mak
() автор топика
Ответ на: комментарий от Deleted 
nmap -p "1720" IP

Starting Nmap 6.40 ( http://nmap.org ) at 2018-02-15 11:26 MSK
Nmap scan report for IP
Host is up (0.028s latency).
PORT     STATE SERVICE
1720/tcp open  H.323/Q.931

Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds
Ved_mak
() автор топика
Ответ на: комментарий от Ved_mak

Это не вывод iptables-save, в нем не должно быть закомментированных строк. Также нет правил таблицы nat, хотя именно они и нужны.

Запусти traceroute -T -p 1720 IP с той же машины, откуда запускал nmap. Запускать надо от рута.

Deleted
()
Ответ на: комментарий от Deleted

1. то конфиг iptables, вот активные правила: 

 iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  [тут адрес ptr]/24  anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  [тут адрес]/24       anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  192.168.0.0/24       anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  [тут адрес ptr]/24  anywhere            state NEW tcp dpt:29292
ACCEPT     tcp  --  [тут адрес]/24       anywhere            state NEW tcp dpt:29292
DROP       tcp  --  anywhere             anywhere            tcp dpt:29292 flags:FIN,SYN,RST,ACK/SYN #conn/32 > 5 /* SSHban */
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:29292 state NEW limit: up to 1/hour burst 5 mode srcip htable-expire 900000
DROP       tcp  --  anywhere             anywhere            tcp dpt:29292 /* SSH */
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ncube-lm
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ms-wbt-server
ACCEPT     tcp  --  [тут адрес]/24       anywhere            state NEW tcp dpt:17230
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

2. команда 

traceroute -T -p 1720
успешно вернула ответ.

Ved_mak
() автор топика
Ответ на: комментарий от Ved_mak

Все же к порту можно подцепиться, получается?...

Получается так.

Black_Shadow ★★★★★
()
Ответ на: комментарий от Ved_mak

Покажи вывод iptables-save. То, что ты показываешь, это только таблица filter.

Black_Shadow ★★★★★
()
Ответ на: комментарий от Ved_mak

1. то конфиг iptables, вот активные правила:

Таблица nat где? Мне нужен вывод не iptables -L, а iptables-save.

успешно вернула ответ.

Где вывод? Такими темпами твои вопросы останутся без ответа.

Deleted
()
Ответ на: комментарий от Deleted 
[root@zabbix ~]# traceroute -T -p 1720 host
traceroute to host (host), 30 hops max, 60 byte packets
 1  gateway (10.0.0.1)  0.499 ms  0.482 ms  0.479 ms
 2  * * *
 3  lag-2-435.bgw.**.ru (109.195.**)  1.249 ms  1.247 ms  1.216 ms
 4  46.**1 (46.**1)  24.414 ms  24.416 ms  24.389 ms
 5  46.**2 (46.**2)  24.375 ms  26.505 ms  41.209 ms
 6  213.**3 (213.**3)  25.704 ms  25.406 ms  24.658 ms
 7  188.**4 (188.**4)  24.648 ms  24.607 ms  24.570 ms
 8  host (host)  25.140 ms  25.483 ms  25.967 ms

Таблица nat где? Мне нужен вывод не iptables -L, а iptables-save.

эм... так. как еще можно вывести? Админю не только я: iptables-save - это ведь сохранение правил? Зачем мне сохранять? (centos 6)

Ved_mak
() автор топика
Ответ на: комментарий от Ved_mak

iptables-save не «сохраняет» правила куда-то, а просто выводит их.

В трейсе у седьмого и восьмого узла адреса одинаковые?

Deleted
()
Ответ на: комментарий от Deleted

iptables-save не «сохраняет» правила куда-то, а просто выводит их.

 iptables-save
# Generated by iptables-save v1.4.7 on Thu Feb 15 12:58:48 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5563903529:6997980691243]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s <тут адрес>/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s <тут адрес1>/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s <тут адрес2>/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s <тут адрес>/24 -p tcp -m state --state NEW -m tcp --dport 29292 -j ACCEPT
-A INPUT -s <тут адрес>/24 -p tcp -m state --state NEW -m tcp --dport 29292 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 29292 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -m comment --comment "SSHban" -j DROP
-A INPUT -p tcp -m tcp --dport 29292 -m state --state NEW -m hashlimit --hashlimit-upto 1/hour --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 900000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 29292 -m comment --comment "SSH" -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT
-A INPUT -s <тут адрес>/24 -p tcp -m state --state NEW -m tcp --dport 17230 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i tun0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o tun0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

В трейсе у седьмого и восьмого узла адреса одинаковые?

Нет. Все адреса разные

Ved_mak
() автор топика
Ответ на: комментарий от Deleted

Хм... Для понимания оставил конечные октеты:

 traceroute -T -p 1720 host
traceroute to host (host), 30 hops max, 60 byte packets
 1  gateway (10.0.0.1)  0.499 ms  0.482 ms  0.479 ms
 2  * * *
 3  lag-2-435.bgw01.**.ru (<>.18)  1.249 ms  1.247 ms  1.216 ms
 4  <>.202 (<>.202)  24.414 ms  24.416 ms  24.389 ms
 5  <>.201 (<>.201)  24.375 ms  26.505 ms  41.209 ms
 6  <>.119 (<>.119)  25.704 ms  25.406 ms  24.658 ms
 7  <>.238 (<>.238)  24.648 ms  24.607 ms  24.570 ms
 8  host (host)  25.140 ms  25.483 ms  25.967 ms

# traceroute -T -p 80 host
traceroute to host (host), 30 hops max, 60 byte packets
 1  gateway (10.0.0.1)  0.486 ms  0.463 ms  0.441 ms
 2  * * *
 3  lag-2-435.bgw01**.rostov.ertelecom.ru (<>.18)  1.023 ms  1.016 ms  1.001 ms
 4  <>.202 (<>.202)  24.497 ms  24.450 ms  24.451 ms
 5  <>.201 (<>.201)  24.438 ms  24.979 ms  26.784 ms
 6  <>.121 (<>.121)  24.803 ms  24.895 ms 213.59.212.119 (<>.119)  24.793 ms
 7  <>.238 (<>.238)  24.779 ms  24.753 ms  24.729 ms
 8  <>.129 (<>.129)  27.404 ms  27.567 ms  27.366 ms
 9  <9 и 10 одинаковые>.101 (<>.101)  27.830 ms  27.659 ms  27.867 ms
10  <9 и 10 одинаковые>.101 (<>.101)  27.906 ms  27.953 ms  28.136 ms
11  host (host)  26.370 ms  26.691 ms  26.368 ms

До трасера №7 включительно одинаковые ответы. Далее во втором случае трасера 8,9 и 10 новые. При этом 9 и 10 одинаковые (это NAT цода?... )

Ved_mak
() автор топика
Ответ на: комментарий от Ved_mak

При этом 9 и 10 одинаковые (это NAT цода?... )

Если там не адрес твоей VPS, то нет, не NAT. По крайней мере, непосредственно на саму VPS это не должно влиять.

На всякий случай попробуй половить трафик на 1720 порт на VPS. Запусти там tcpdump и проскань nmap'ом еще раз. 

tcpdump -i eth0 -nnpvvv 'port 1720'
Вместо eth0 - нужный интерфейс.

Deleted
()
Ответ на: комментарий от Ved_mak

6 <>.121 (<>.121) 24.803 ms 24.895 ms 213.59.212.119 (<>.119) 24.793 ms

Это в порядке нормы, трафик не всегда ходит по одному и тому же пути.

Deleted
()
Ответ на: комментарий от Deleted

Вот 

tcpdump -i eth1 -nnpvvv 'port 1720'
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
9 packets received by filter
0 packets dropped by kernel
В момент прослушивания сделал трассировку на порт 1720

Ved_mak
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security