LINUX.ORG.RU

Кто слушает 21 порт?


0

0

Колеги!
При сканировании своего сервера извне я обнаружил открытым порт 21. Ни один процес не слушает этот порт. Проверился на руткиты - также ничего не было обнаружено. Самое интересное, что открытый порт 21 видят XSpider и portqry, nmap - не видит. И все они не видят открытый порт 5222 (для jabber'a). Не могу разобраться чему верить. В логах смотрел на предмет подключения к ftp - нет ничего. Может кто подскажет - как узнать какой процес слушет порт?

anonymous

Ответ на: Re: Кто слушает 21 порт? от loki_

Re: Re: Кто слушает 21 порт?

Пробывал - ничего не обнаружил. Это и не удивительно, если руткит скрывает что-либо, то данная утилита также бесполехна, как и netstat -npl

anonymous ()

Re: Кто слушает 21 порт?

Скорее всего, его слушает inetd на предмет ftp.

Посмотри /etc/inetd.conf, ftp сервис открыт?

> В логах смотрел на предмет подключения к ftp - нет ничего.

Потому что никто не лез!

Не совсем понимаю фразу:

>...обнаружил открытым порт 21. Ни один процес не слушает этот порт.

Что такое "открытый порт", который "ни один процес не слушает"?

Die-Hard ★★★★★ ()
Ответ на: Re: Кто слушает 21 порт? от Die-Hard

Re: Re: Кто слушает 21 порт?

"открытый порт", который "ни один процес не слушает" для меня означает, что сканер портов сказал мне, что:
"TCP port 21 (ftp service): LISTENING
Port did not return extended data - request timed out"

Меня вообще напрягает, когда видится открытым порт в том случае если он должен быть прикрыт firewall'ом.
Я пытался соединиться telnet'ом на 21 порт - соединения в классическом его понимании не происходит, т.е. tcpdump говорит, что на 21 порт приходят пакеты - ответа нет. Это как бы радует. Но, черт возми, откуда этот порт вообще появился? Все кроме 5222 и 3389 по tcp и ntp по udp закрыто вообще.
Может ли, например, модем провайдера как влиять на сканирование?

anonymous ()
Ответ на: Re: Re: Кто слушает 21 порт? от anonymous

Re: Re: Re: Кто слушает 21 порт?

"Произошла типичная подмена понятий" (R) Гоблин

nmap говорит: filtered - если на его син ничего не приходит closed - если на его син приходит рст open - если на его син приходит син/аск

Еще он по моему говори firewalled если приходит "admin prohibited". Listening он не говорит! Причем при сканировании большего диапазона портов он выдает инфу только об интересных (open).

XSpider использовать для сканирования открытых портов не стоит. Это прекрасная утилита для обнаружения служб. Эвристика у нее лучше чем у nmap. Но набор методов сканирования - никакой!

В твоем случае, похоже все порты говорят рст, а 21 - молчит. Понятиями iptables - 21-у сделан DROP

debug ()
Ответ на: Re: Re: Re: Кто слушает 21 порт? от debug

Re: Re: Re: Re: Кто слушает 21 порт?

Вообще-то я сказал, что как-раз nmap ничего о 21 порте и не говорит, а посему не пойму что-то о какой подмене понятий идет речь? Говорят по 21 порту XSpider и portqry. Хорошо, пусть они врут и пакеты дропаются iptables. Почему остальные порты: 22 (на нем ssh реальный - просто закрыт iptables), 23 (ничего нет) и другие ведут себя нормально, а именно порт ftp по вашему "молчит". Еще раз повторяю: закрыты все порты кроме 5222 и 3389. Т.е. есть правило типа такого:

# 4.1.3.1.1 TCP rules for wireless network
#
# JABBER server
$IPTABLES -A tcp_packets_wireless -p TCP -i $WIRELESS_IFACE -s 0/0 --dport 5222 -j allowed
# MS terminal server
$IPTABLES -A tcp_packets_wireless -p TCP -i $WIRELESS_IFACE -s 0/0 --dport $TERMINAL_SERVER_PORT -j allowed
.....
$IPTABLES -A INPUT -p TCP -i $WIRELESS_IFACE -j tcp_packets_wireless
Вот и все обслуживание входящих соединений на заданном интерфейсе.

Вот поэтому и весь в непонятках. Что делать и куда бечь

anonymous ()
Ответ на: Re: Re: Re: Re: Кто слушает 21 порт? от anonymous

Re: Re: Re: Re: Re: Кто слушает 21 порт?

Надеюсь, что политика по умолчанию DROP.
На внешней машине делаешь:
1. alt+F1 и пишешь
tcpdump -i <и-фейс нужный> -n -w /tmp/foo host <IP нужный>
2. alt+F2
nmap -P0 -p 21-23,5222 -e <и-фейс нужный> <IP нужный>
3. alt+F1
ctrl+c
tcpdump -n -r /tmp/foo | less -S
8-0 - внимательно смотришь

Для чистоты эксперимента повтори nmap с опцией --source_port 20

Вспомнил, что XSpider сканирует по умолчанию не только TCP но и UDP. nmap-у это нужно указать -sU. Так что просканируй nmap-ом UDP, хотя 21
порт по умолчанию к UDP отношения не имеет.

debug ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.