LINUX.ORG.RU

Кто слушает 21 порт?


0

0

Колеги!
При сканировании своего сервера извне я обнаружил открытым порт 21. Ни один процес не слушает этот порт. Проверился на руткиты - также ничего не было обнаружено. Самое интересное, что открытый порт 21 видят XSpider и portqry, nmap - не видит. И все они не видят открытый порт 5222 (для jabber'a). Не могу разобраться чему верить. В логах смотрел на предмет подключения к ftp - нет ничего. Может кто подскажет - как узнать какой процес слушет порт?

anonymous

Ответ на: комментарий от loki_

Пробывал - ничего не обнаружил. Это и не удивительно, если руткит скрывает что-либо, то данная утилита также бесполехна, как и netstat -npl

anonymous
()
Ответ на: комментарий от anonymous

а chkrootkit не пробовали после загрузки с cdrom?

mator ★★★★★
()

Скорее всего, его слушает inetd на предмет ftp.

Посмотри /etc/inetd.conf, ftp сервис открыт?

> В логах смотрел на предмет подключения к ftp - нет ничего.

Потому что никто не лез!

Не совсем понимаю фразу:

>...обнаружил открытым порт 21. Ни один процес не слушает этот порт.

Что такое "открытый порт", который "ни один процес не слушает"?

Die-Hard ★★★★★
()
Ответ на: комментарий от Die-Hard

предлагаю

netstat -sp

telnet host 21


Если прителнетишся а netstat не покажет этот порт значит к доктору.

anonymous
()
Ответ на: комментарий от Die-Hard

"открытый порт", который "ни один процес не слушает" для меня означает, что сканер портов сказал мне, что:
"TCP port 21 (ftp service): LISTENING
Port did not return extended data - request timed out"

Меня вообще напрягает, когда видится открытым порт в том случае если он должен быть прикрыт firewall'ом.
Я пытался соединиться telnet'ом на 21 порт - соединения в классическом его понимании не происходит, т.е. tcpdump говорит, что на 21 порт приходят пакеты - ответа нет. Это как бы радует. Но, черт возми, откуда этот порт вообще появился? Все кроме 5222 и 3389 по tcp и ntp по udp закрыто вообще.
Может ли, например, модем провайдера как влиять на сканирование?

anonymous
()
Ответ на: комментарий от anonymous

"Произошла типичная подмена понятий" (R) Гоблин

nmap говорит: filtered - если на его син ничего не приходит closed - если на его син приходит рст open - если на его син приходит син/аск

Еще он по моему говори firewalled если приходит "admin prohibited". Listening он не говорит! Причем при сканировании большего диапазона портов он выдает инфу только об интересных (open).

XSpider использовать для сканирования открытых портов не стоит. Это прекрасная утилита для обнаружения служб. Эвристика у нее лучше чем у nmap. Но набор методов сканирования - никакой!

В твоем случае, похоже все порты говорят рст, а 21 - молчит. Понятиями iptables - 21-у сделан DROP

debug
()
Ответ на: комментарий от debug

Вообще-то я сказал, что как-раз nmap ничего о 21 порте и не говорит, а посему не пойму что-то о какой подмене понятий идет речь? Говорят по 21 порту XSpider и portqry. Хорошо, пусть они врут и пакеты дропаются iptables. Почему остальные порты: 22 (на нем ssh реальный - просто закрыт iptables), 23 (ничего нет) и другие ведут себя нормально, а именно порт ftp по вашему "молчит". Еще раз повторяю: закрыты все порты кроме 5222 и 3389. Т.е. есть правило типа такого:

# 4.1.3.1.1 TCP rules for wireless network
#
# JABBER server
$IPTABLES -A tcp_packets_wireless -p TCP -i $WIRELESS_IFACE -s 0/0 --dport 5222 -j allowed
# MS terminal server
$IPTABLES -A tcp_packets_wireless -p TCP -i $WIRELESS_IFACE -s 0/0 --dport $TERMINAL_SERVER_PORT -j allowed
.....
$IPTABLES -A INPUT -p TCP -i $WIRELESS_IFACE -j tcp_packets_wireless
Вот и все обслуживание входящих соединений на заданном интерфейсе.

Вот поэтому и весь в непонятках. Что делать и куда бечь

anonymous
()
Ответ на: комментарий от anonymous

Надеюсь, что политика по умолчанию DROP.
На внешней машине делаешь:
1. alt+F1 и пишешь
tcpdump -i <и-фейс нужный> -n -w /tmp/foo host <IP нужный>
2. alt+F2
nmap -P0 -p 21-23,5222 -e <и-фейс нужный> <IP нужный>
3. alt+F1
ctrl+c
tcpdump -n -r /tmp/foo | less -S
8-0 - внимательно смотришь

Для чистоты эксперимента повтори nmap с опцией --source_port 20

Вспомнил, что XSpider сканирует по умолчанию не только TCP но и UDP. nmap-у это нужно указать -sU. Так что просканируй nmap-ом UDP, хотя 21
порт по умолчанию к UDP отношения не имеет.

debug
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.