Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Tajemnicze porty

https://www.debian.pl/viewtopic.php?t=8488

Strona 1 z 2

Tajemnicze porty

: 17 czerwca 2008, 13:35
autor: bigben
Witam

Niedawno przeskanowałem swój komputer nmap'em żeby sprawdzić jakie porty u mnie są otwarte.
Oto co wyświetlił mi program:

Kod: Zaznacz cały

Interesting ports on localhost (127.0.0.1):
Not shown: 1708 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
111/tcp  open  rpcbind
113/tcp  open  auth
631/tcp  open  ipp
1011/tcp open  unknown
Do portów: 21 i 22 nie mam żadnych pytań (sam otworzyłem te porty i z nich korzystam). Pytania mam do pozostałych portów:

1. Dlaczego port 25 (smtp) jest otwarty? Przecież nie mam u siebie serwera smtp, chyba że ten port jest niezbędny do prawidłowego działanie programu pocztowego (Mozilla Thunderbird/IceDove).

2. Wiem mniej więcej do czego służy RPC, ale chciałbym od was się dowiedzieć czy otwarty protokół 111 stanowi jakiekolwiek zagrożenie dla mojego komputera?

3. Wiem że port 113 jest powiązany z portem 25 (smtp) ale chciałbym wiedzieć czy są jakieś zagrożenia ze strony tego portu?

4. Czy ktoś z zewnątrz może mi namieszać przez port 631 (CUPS) w ustawieniach drukarki?

5. I wreszcie od czego jest ten port 1011?

Z góry dziękuje za wszelkie zainteresowanie i pomoc.

: 17 czerwca 2008, 14:04
autor: yakow
1. Coś tam masz*. A to coś to exim. Poszukaj sobie chociażby przy bootowaniu systemu, będzie napisane, że ładuje exima, a on właśnie działa na tym porcie 25/tcp. To taki serwerek smtp :mrgreen:

2, 3 i 4. Nie jestem specem od bezpieczeństwa, więc Ci nie powiem. Mi zdaje się, że jest bardzo małe prawdopodobieństwo jego wykorzystania.

5. Wszędzie gdzie szukałem to port 1011/tcp to Doly Trojan. Aczkolwiek może Debian wykorzystuje coś innego na tym porcie - w googlach tylko o tym trojanie znalazłem informacje: http://www.auditmypc.com/port/tcp-port-1011.asp

P.S Tu jest ładny spis: http://www.linuxjunkies.org/articles/po ... ained.html

*tzn. każda instalacja Debiana tak ma.

: 17 czerwca 2008, 14:33
autor: bigben
Z exim'em sobie poradziłem. Zostaje tylko sprawa portu 1011. Na pewno nie jest to ten wirus o którym myślisz. Doly Trojan o którym tu mowa jest na windowsa co można wywnioskować po lekturze tego tekstu. Nie znalazłem żadnego programu który odwoływałby się do tego portu. Może to jakaś pozostałość po innym programie który wcześniej instalowałem. Istnieje jakaś możliwość zamknięcja tego portu. W programie Firestarter którego używam do konfiguracji firewalla nie znalazłem opcji zamknięcja tego portu (chyba że mi padło na wzrok bo jestem po ciężkiej nocy ;-) ) Oczywiście może też być polecenie w konsoli do zamknięcia tego portu.

: 17 czerwca 2008, 15:49
autor: yakow

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 1011 -j DROP
Odrzuci wszystko co będzie przychodziło na port 1011 ;)

: 17 czerwca 2008, 16:20
autor: Rad
Zrób sobie lsof -i i zobaczysz jakie procesy nasłuchują na tych portach...

: 17 czerwca 2008, 16:45
autor: bigben
Sprawa się nieco skomplikowała. Polecenie lsof -i nic nie wykazało a kiedy uruchomiłem komputer ponownie port 1011 zniknął ale na jego miejsce pojawił się 743 który również jest oznaczony jako unknown. Wygląda na to że jakaś aplikacja losowo przydziela sobie port, pytanie tylko jaka? Załączam tu liste procesów aktywnych na moim kompie w chwili gdy pisze ten post

Kod: Zaznacz cały

  PID TTY          TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:00 ksoftirqd/0
    4 ?        00:00:00 watchdog/0
    5 ?        00:00:00 events/0
    6 ?        00:00:00 khelper
   40 ?        00:00:00 kblockd/0
   42 ?        00:00:00 kacpid
   43 ?        00:00:00 kacpi_notify
  108 ?        00:00:00 kseriod
  144 ?        00:00:00 pdflush
  145 ?        00:00:00 pdflush
  146 ?        00:00:00 kswapd0
  147 ?        00:00:00 aio/0
  549 ?        00:00:00 ksuspend_usbd
  556 ?        00:00:00 khubd
  667 ?        00:00:00 ata/0
  668 ?        00:00:00 ata_aux
  755 ?        00:00:00 kjournald
  849 ?        00:00:00 udevd
 1171 ?        00:00:00 saa7133[0]
 1233 ?        00:00:00 kgameportd
 1255 ?        00:00:00 kpsmoused
 1483 ?        00:00:00 ueagle-dsp/0
 1484 ?        00:00:00 ueagle-atm
 1642 ?        00:00:00 mount.ntfs-3g
 1785 ?        00:00:00 portmap
 1796 ?        00:00:00 rpc.statd
 2036 ?        00:00:00 syslogd
 2044 ?        00:00:00 klogd
 2176 ?        00:00:00 acpid
 2185 ?        00:00:00 dbus-daemon
 2197 ?        00:00:00 avahi-daemon
 2199 ?        00:00:00 avahi-daemon
 2212 ?        00:00:00 sshd
 2233 ?        00:00:00 cupsd
 2252 ?        00:00:00 inetd
 2263 ?        00:00:00 famd
 2270 ?        00:00:00 dhcdbd
 2280 ?        00:00:00 hald
 2281 ?        00:00:00 hald-runner
 2300 ?        00:00:00 hald-addon-inpu
 2308 ?        00:00:00 hald-addon-acpi
 2311 ?        00:00:00 hald-addon-stor
 2317 ?        00:00:00 hald-addon-stor
 2319 ?        00:00:00 hald-addon-stor
 2326 ?        00:00:00 NetworkManager
 2335 ?        00:00:00 NetworkManagerD
 2359 ?        00:00:00 gdm
 2365 ?        00:00:00 gdm
 2369 tty7     00:00:19 Xorg
 2371 ?        00:00:00 system-tools-ba
 2372 ?        00:00:00 dbus-daemon
 2390 ?        00:00:00 atd
 2411 ?        00:00:00 cron
 2446 ?        00:00:00 pppd
 2469 tty1     00:00:00 getty
 2470 tty2     00:00:00 getty
 2471 tty3     00:00:00 getty
 2472 tty4     00:00:00 getty
 2473 tty5     00:00:00 getty
 2474 tty6     00:00:00 getty
 2497 ?        00:00:00 x-session-manag
 2609 ?        00:00:00 ssh-agent
 2616 ?        00:00:00 dbus-launch
 2634 ?        00:00:00 dbus-daemon
 2865 ?        00:00:00 gconfd-2
 3074 ?        00:00:00 seahorse-agent
 3077 ?        00:00:00 gnome-keyring-d
 3079 ?        00:00:00 gnome-settings-
 3099 ?        00:00:00 gnome-screensav
 3100 ?        00:00:02 metacity
 3102 ?        00:00:02 gnome-panel
 3104 ?        00:00:01 nautilus
 3110 ?        00:00:00 bonobo-activati
 3113 ?        00:00:00 gnome-vfs-daemo
 3116 ?        00:00:00 bluetooth-apple
 3118 ?        00:00:06 beagled
 3122 ?        00:00:01 beagle-search
 3129 ?        00:00:00 nm-applet
 3131 ?        00:00:00 gnome-volume-ma
 3134 ?        00:00:00 gnome-power-man
 3146 ?        00:00:00 mapping-daemon
 3160 ?        00:00:00 mixer_applet2
 3198 ?        00:00:01 gnome-terminal
 3200 ?        00:00:00 gnome-pty-helpe
 3201 pts/0    00:00:00 bash
 3252 ?        00:00:03 beagled-helper
 3266 ?        00:00:40 firefox-bin
 3351 pts/0    00:00:00 ps
Przejrzałem te liste, troche na google szukałem i nie moge ustalic co to za program przydziela sobie losowe porty.

[ Dodano: 2008-06-17, 18:19 ]
OK ustaliłem że tym programem który otwierał mi port był FAM . Poczytałem o nim troche w sieci i tu rodzi się kolejne pytanie. Po co on otwiera dodatkowy port? Z tego co wyczytałem dostęp do sieci nie jest mu potrzebny.

[ Dodano: 2008-06-17, 18:45 ]
Wywalim FAM'a i zastąpiłem go gaminem. Wiecie może czy gamina trzeba jakoś dodawać do autostartu, bo FAM miał demona (już usunięty) który startował razem z systemem podczas gdy gamin nie ma żadnego demona.

: 18 czerwca 2008, 00:51
autor: Rad
W ogóle sprawdzałeś, czy te porty przypadkiem nie są otwarte jedynie na loopbacku?

: 18 czerwca 2008, 17:11
autor: bigben
A jak to sprawdzić? :shock:

: 18 czerwca 2008, 19:06
autor: yakow

Kod: Zaznacz cały

nmap -e lo 127.0.0.1
Porty lokalne czyli loopback.

Kod: Zaznacz cały

nmap -e eth0 127.0.0.1
Porty z eth0, czyli te co są widoczne "z zewnątrz".

EDIT:
No albo zamiast eth0 dajesz eth1 czy na czym tam masz swój interfejs (ifconfig).

: 20 czerwca 2008, 15:00
autor: bigben
Wynik polecenia nie różni się niczym od

Kod: Zaznacz cały

nmap 127.0.0.1
A wie ktoś czy gamina trzeba jakoś dodawać do autostartu systemu?
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl