port 137,138,139 offen

[UniX]

Morgen!

Ich hab ein kleines Problem das mich jetzt schon seit einigen Tagen ärgert. Auf meinem Suse7.3 Rechner sind die Ports 137 NETBIOS NAME Service, 138 NETBIOS Datagram Service und 139 NETBIOS Session Service offen. Es ist aber kein Dienst aktiviert der diese Ports benötigen könnte. Prozessliste (ps -aux)

init [3]
[keventd]
[kapm-idled]
[ksoftirq_CPU0]
[kswapd]
[bdflush]
[kupdated]
[mdrecoveryd]
[eth0]
[khubd]
/sbin/syslogd
/sbin/klogd -c 1
/usr/sbin/ssh
/usr/sbin/cron
/sbin/mingetty --noclear
/sbin/mingetty tty2
/sbin/mingetty tty3
/sbin/mingetty tty4
/sbin/mingetty tty5
/sbin/mingetty tty6
/usr/sbin/sshd
-bash
ps -aux

Kann es sein dass irgendwo noch ein versteckter Prozess läuft?
Ich habe die Ports jetzt mit iptables "geschlossen" (gefiltert). Jedes Packet das bei diesen Ports hinaus bzw hinein geht wird gelöscht (DROP).
Gibt es eine Möglichkeit das diese Ports gar nicht mehr angezeigt werden bzw. ganz geschlossen werden?
Es geht mir darum herauszufinden welche Prozesse diese Ports öffnen bzw. benutzen.

gruß UniX

 

[devilz]

Hast du vielleicht Samba laufen ?

 

[UniX]

Nein Samba läuft nicht. Es laufen nur die oben aufgelisteten prozesse.

Wenn samba laufen würde wäre es natürlich klar welcher Prozess/Daemon die 3 Ports in anspruch nimmt - dem ist aber nicht so.

Sonst noch ideen?

Gruß UniX

 

[devilz]

Hmm haste vielleicht nen Forward auf Windows Kisten ?
Ansonsten hab ich k.A. warum.

Aber läuft auf diesen Ports denn was, oder werden diese dir nur angezeigt ?

 

[UniX]

was meinst du mit forward auf ne windows kiste?

gru UniX >> like this smily ;-)

 

[devilz]

naja das du entweder ne Windows Kiste in einem DMZ oder per Portforwarding laufen hast ?

 

[UniX]

nein ist nich der fall!

gruß UniX

 

[chb]

Laufen überhaupt Win Kisten in deinem Netz ? ; wenn nicht schau mal ob nmbd läuft der startete zumindest beim alten Samba auch mal gerne alleine.

Sonst kannst du mit lsof schaun welcher Prozess zu welchem Port gehört ..

 

[UniX]

Es laufen noch windows kisten im Netzwerk.
Mit lsof ist mir nichts ungewöhnliches aufgefallen und nmbd müsste bei ps -aux bzw. lsof aufscheinen wenn er aktiv wäre >> ist er aber nicht.

Gruß UniX

 

[nudelsnack]

Wie kommst du eigentlich drauf, dass die offen sind? Was wird da bei nem Portscan genau ausgespuckt?

 

[hopfe]

Hast du mal kontrolliert ob vielleicht der (x)inetd die Ports noch überwacht?

 

[Malshun]

Hast du mal kontrolliert ob vielleicht der (x)inetd die Ports noch überwacht?

Dann würde der Superserver aber auch in der Prozesstabelle auftauchen.

bye,
malshun

 

[chb]

hmm bist dir sicher daß die Ports vom Lokalen Netz geöffnet werden ?

 

[UniX]

hmm bist dir sicher daß die Ports vom Lokalen Netz geöffnet werden ?

Wie meinst du das genau?

Wenn ich die iptables beende und local nmap auf localhost scannen lasse sind die ports geschlossen - wenn ich aber von einem aussenstehenden Rechner den Scannvorgang starte wirft er das aus

137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn

Welches Program filtert die ports?
warum sieht der local Rechner die Ports geschlossen und der aussenstehende sieht sie geöffnet?

gruß UniX

 

[nudelsnack]

Deswege hab ich gefragt wie du die scannst...
nmap zeigt dir auch an, dass die gefiltert werden, wenn deine Firewall die filtert, egal ob sie wirklich offen sind oder nicht.
Wenn sie vom localhost zu sind (laut nmap) und keine Dienste zu finden sind, die die aufmachen koennten, dann isses wohl die firewall und die ports sind in wirklichkeit zu

 

[UniX]

Firewall ist keine aktiviert und die iptables habe ich vor dem scan gelöscht!
Das ist wirklich merkwürdig!

Gruß UniX

 

[nudelsnack]

Hmmm soweit wirklich merkwuerdig.
Von wo aus scannst du denn? Anderer Rechner daheim oder von extern? Bei zweiterem Fall koennte auch irgendwer dazwischen die Ports filtern.

 

[UniX]

Von wo aus scannst du denn? Anderer Rechner daheim oder von extern? Bei zweiterem Fall koennte auch irgendwer dazwischen die Ports filtern.

extern - Das jemand dazwischen die Ports filtert ist sehr unwahrscheinlich aber natürlich eine Möglichkeit! Mal überprüfen

Gruß UniX