portscann -> unbekannter offener Port

A

ancas

Grünschnabel
Hallo,

nach einem Portscan mit nmap kommt folgende Meldung

200012/tcp open unknown

Wie kann ich feststellen welche Anwendung hinter diesem
Port steckt?


MfG:

Andreas
 
gehen die ports nicht nur bis FFFF?
du kannst ein Banner abfragen mit zb telnet oder nc
nc -t localhost port
 
also ich kenne
rtfm und sufu...
aber was ist stfu & stfw?
 
Mit dem Befehl 'fuser -n tcp ' erfährt man welche PID den Port offen hat. Anschliessend kannst man mit einem 'ps ....' herausfinden welches Programm das ist, und ggf closen

Nach einem Portscan auf meine eigene Kiste zeigte nmap an, ich haette
einen socks-Server auf 1080/tcp laufen ... was ich nicht glauben konnte,
weil ich keinen installiert habe und ein solcher ein Sicherheitsrisiko
waere...

Also mal nachgeschaut, welcher Prozess denn da auf dem Port sitzt:

dachboden:/ # nmap localhost -p 1080

Starting nmap V. 2.3BETA6 by Fyodor (fyodor_at_dhp.com,
www.insecure.org/nmap/)
Interesting ports on localhost (127.0.0.1):
Port State Protocol Service
1080 open tcp socks

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
dachboden:/ # fuser -n tcp 1080
1080/tcp: 1490 18157 18168

dachboden:/ # ps 1490 18157 18168
PID TTY STAT TIME COMMAND
1490 ? S 0:01 /usr/X11R6/bin/xdm
18157 ? S 0:00 -:0
18168 ? S 0:00 /usr/X11R6/bin/xconsole -geometry 480x130-0-0
-daemon

und so für immer schliessen
iptables -A INPUT -p tcp --dport portdenduschließenwillst -i quelldevice -j DROP
 
Danke schön!

Das Problem ist beseitigt.

so long Andreas
 
geht es auch wenn ich nicht nmap benutze sondern extern den rechner scanne mit portscan?

portscan zeigt mir ja auch alle offenen ports an
nur eins will nicht klappen

wenn ich 1024 offen habe:

fuser -n tcp 1024[/B
1024/tcp: 775 <<--- was soll das heissen?

dan gebe ich ps: 775 ein er zeigt mir:
775 ? S 0:00 rpc.statd

iptables -A INPUT -p tcp --dport 1024 -i quelldevice -j DROP

was ist mit quelldevice gemeint???

danke
 
Quelldevice wird das /dev/XXX sein, von wo die Anfragen kommen
also /dev/eth0 oder /dev/ippp0
 
Also meine Netzwerkkarte ist eth0 das sehe ich ja bei ifconfig

wenn ich

iptables -A INPUT -p tcp --dport 1024 -i quelldevice -j DROP

eingeben, dann kommt

Warning: wierd character in interface /var/eth0 (No aliases, :, ! or *)

was heisst es? ?(
 
ok die lösung var einfach

iptables -A INPUT -p tcp --dport 1024 -i eth0 -j DROP

ohne /var davor

hmm jetzt habe ich nur die Frage wie mache ich es rückgängig wie lffne ich die ports wieder?

:p
 
man iptables

iptables -D chain rulenumber

Man, man, man... RTFM!

mfg
 
Zuletzt bearbeitet:
das kann man doch in einer netten Form sagen.
danke Dir trotzdem. :P

mit portscanner habe ich die ports gescannt
offen sind:

21
22
25
80
81
82
83
110
111
119
1024
1080
5190
8080

wenn ich mit:

iptables -A INPUT -p tcp --dport 82 -i eth0 -j DROP

den Port schliese und gleich danach scanne dann ist er immer noch offen why?

und kann es sein, dass nach jedem Neustart man es immer wieder von vorne eintragen muss bzw. ein script dafür schreiben?

:help:
 
Erstmal solltest du aufhoeren zu versuchen dein System notduerftig mit iptables zu flicken. Guck erstmal, ob du ueberhaupt all die Software brauchst, die da auf Ports lauscht, was du nicht brauchst kannst du loeschen. Den Rest bindest du nur an die Interfaces, wo du die Programme auch brauchst. (und wenn das bei irgendwelchen Programmen nicht gehen sollte, gehoeren die eh auch in die Tonne)
Und schon hast du vermutlich ueberhaupt keinen Bedarf mehr iptables zu benutzen.
 
also mit less /etx/services
finde ich die ip's und jeweiligen dienste

wie schalte ich die Dienste ab?
 

Ähnliche Themen

ip6tables Problem

Teredo/ Miredo Adresse nicht erreichbar

SSH nicht mehr erreichbar nach fail2ban / disabling root login

Portfreigabe Plesk + Ubuntu

Netfilter Filter nicht

Zurück
Oben