PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : port 137,138,139 offen



UniX
30.09.2003, 09:15
Morgen!

Ich hab ein kleines Problem das mich jetzt schon seit einigen Tagen ärgert. Auf meinem Suse7.3 Rechner sind die Ports 137 NETBIOS NAME Service, 138 NETBIOS Datagram Service und 139 NETBIOS Session Service offen. Es ist aber kein Dienst aktiviert der diese Ports benötigen könnte. Prozessliste (ps -aux)

init [3]
[keventd]
[kapm-idled]
[ksoftirq_CPU0]
[kswapd]
[bdflush]
[kupdated]
[mdrecoveryd]
[eth0]
[khubd]
/sbin/syslogd
/sbin/klogd -c 1
/usr/sbin/ssh
/usr/sbin/cron
/sbin/mingetty --noclear
/sbin/mingetty tty2
/sbin/mingetty tty3
/sbin/mingetty tty4
/sbin/mingetty tty5
/sbin/mingetty tty6
/usr/sbin/sshd
-bash
ps -aux

Kann es sein dass irgendwo noch ein versteckter Prozess läuft?
Ich habe die Ports jetzt mit iptables "geschlossen" (gefiltert). Jedes Packet das bei diesen Ports hinaus bzw hinein geht wird gelöscht (DROP).
Gibt es eine Möglichkeit das diese Ports gar nicht mehr angezeigt werden bzw. ganz geschlossen werden?
Es geht mir darum herauszufinden welche Prozesse diese Ports öffnen bzw. benutzen.

gruß UniX :sly:

devilz
30.09.2003, 10:47
Hast du vielleicht Samba laufen ?

UniX
30.09.2003, 11:19
Nein Samba läuft nicht. Es laufen nur die oben aufgelisteten prozesse.

Wenn samba laufen würde wäre es natürlich klar welcher Prozess/Daemon die 3 Ports in anspruch nimmt - dem ist aber nicht so.

Sonst noch ideen?

Gruß UniX

devilz
30.09.2003, 11:27
Hmm haste vielleicht nen Forward auf Windows Kisten ?
Ansonsten hab ich k.A. warum.

Aber läuft auf diesen Ports denn was, oder werden diese dir nur angezeigt ?

UniX
30.09.2003, 11:38
was meinst du mit forward auf ne windows kiste?

gru UniX :sly: >> like this smily ;-)

devilz
30.09.2003, 11:44
naja das du entweder ne Windows Kiste in einem DMZ oder per Portforwarding laufen hast ?

UniX
30.09.2003, 11:51
nein ist nich der fall!

gruß UniX :sly:

chb
30.09.2003, 11:51
Laufen überhaupt Win Kisten in deinem Netz ? ; wenn nicht schau mal ob nmbd läuft der startete zumindest beim alten Samba auch mal gerne alleine.

Sonst kannst du mit lsof schaun welcher Prozess zu welchem Port gehört ..

UniX
30.09.2003, 12:07
Es laufen noch windows kisten im Netzwerk.
Mit lsof ist mir nichts ungewöhnliches aufgefallen und nmbd müsste bei ps -aux bzw. lsof aufscheinen wenn er aktiv wäre >> ist er aber nicht.

Gruß UniX :sly:

nudelsnack
30.09.2003, 14:06
Wie kommst du eigentlich drauf, dass die offen sind? Was wird da bei nem Portscan genau ausgespuckt?

hopfe
30.09.2003, 14:09
Hast du mal kontrolliert ob vielleicht der (x)inetd die Ports noch überwacht?

Malshun
30.09.2003, 19:43
Hast du mal kontrolliert ob vielleicht der (x)inetd die Ports noch überwacht?

Dann würde der Superserver aber auch in der Prozesstabelle auftauchen.

bye,
malshun

chb
30.09.2003, 20:32
hmm bist dir sicher daß die Ports vom Lokalen Netz geöffnet werden ?

UniX
01.10.2003, 08:59
hmm bist dir sicher daß die Ports vom Lokalen Netz geöffnet werden ?
Wie meinst du das genau?

Wenn ich die iptables beende und local nmap auf localhost scannen lasse sind die ports geschlossen - wenn ich aber von einem aussenstehenden Rechner den Scannvorgang starte wirft er das aus

137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn

Welches Program filtert die ports?
warum sieht der local Rechner die Ports geschlossen und der aussenstehende sieht sie geöffnet?

gruß UniX :sly:

nudelsnack
01.10.2003, 10:32
Deswege hab ich gefragt wie du die scannst...
nmap zeigt dir auch an, dass die gefiltert werden, wenn deine Firewall die filtert, egal ob sie wirklich offen sind oder nicht.
Wenn sie vom localhost zu sind (laut nmap) und keine Dienste zu finden sind, die die aufmachen koennten, dann isses wohl die firewall und die ports sind in wirklichkeit zu

UniX
01.10.2003, 10:43
Firewall ist keine aktiviert und die iptables habe ich vor dem scan gelöscht!
Das ist wirklich merkwürdig! ?(

Gruß UniX

nudelsnack
01.10.2003, 10:54
Hmmm soweit wirklich merkwuerdig.
Von wo aus scannst du denn? Anderer Rechner daheim oder von extern? Bei zweiterem Fall koennte auch irgendwer dazwischen die Ports filtern.

UniX
01.10.2003, 11:02
Von wo aus scannst du denn? Anderer Rechner daheim oder von extern? Bei zweiterem Fall koennte auch irgendwer dazwischen die Ports filtern.
extern - Das jemand dazwischen die Ports filtert ist sehr unwahrscheinlich aber natürlich eine Möglichkeit! Mal überprüfen

Gruß UniX