nmap auf meinem Webserver zeigt, dass die TCP-Ports 554 und 7070 geöffnet sind

11

Ich habe einen Webserver, der verschiedene Websites für mich hostet. Die beiden Dienste, auf die außerhalb zugegriffen werden kann, sind SSH und Apache2. Diese werden auf einem nicht standardmäßigen bzw. einem standardmäßigen Port ausgeführt. Alle anderen Ports werden explizit über die arno-iptables-Firewall geschlossen. Der Host führt Debian Testing aus.

Mir ist aufgefallen, dass ein Scan des Hosts mit nmap unterschiedliche Ergebnisse von verschiedenen PCs ergab. Von meinem Laptop in meinem Heimnetzwerk (hinter einem BT Homehub) erhalte ich Folgendes:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

Beim Scannen von einem US-amerikanischen Server mit nmap 5.00 und einer Linux-Box in Norwegen mit nmap 5.21 erhalte ich Folgendes:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

Ich hoffe, es ist mein internes Netzwerk oder mein ISP, der spielt, aber ich kann nicht sicher sein.

Das Ausführen von a netstat -l | grep 7070erzeugt nichts. Ähnliches gilt für Port 554.

Kann jemand die Besonderheiten erklären, die ich sehe?

security debian port

— Alex
quelle

Ob beide Ergebnisse der gleichzeitig durchgeführten Scans sind.

— Pradeepchhetri

3

Verwenden Sie zufällig ein Apple Airport Extreme oder eine Apple Time Capsule in Ihrem Heimnetzwerk?

— Fälscher

Ich habe ein Buffalo NAS, das einen DLNA-kompatiblen Dienst ausführt, glaube ich.

— Alex

Das passiert mir auch - ich stecke hinter einer Apple Time Capsule. :(

— Pawstrong

1

Dies ist höchstwahrscheinlich etwas in der Reihe, diese 2 Ports (554/7070) sind für Realplayer RealServer.

http://service.real.com/firewall/adminfw.html

— Wyck
quelle

Ich stimme mit Ihnen ein. Vielen Dank. Ich habe getan, was Nickgrim vorgeschlagen hat, und es hat bewiesen, dass ich den Port immer noch öffnen kann (vorausgesetzt, kein Rootkit hat Netcat, Netstat und andere verwandte Binärdateien ersetzt, um mich auszutricksen!).

— Alex

Übrigens, wie kann ich beweisen, dass dies der Fall ist?

— Alex

@atc: telnetzu Ihrem neu zuhörenden netcatund überprüfen Sie, ob es empfängt, was Sie darauf eingeben .

— Nickgrim

10

Ich würde gerne Ihren ISP oder etwas zwischen Ihnen und Ihrem Server dafür verantwortlich machen. Wenn Sie sich nur versichern möchten, dass diese Ports wirklich geschlossen sind, können Sie versuchen, diese Ports abzuhören. Wenn dies erfolgreich ist, können Sie davon ausgehen, dass bereits nichts abgehört wird. Folgendes mache ich auf meinem Computer (der Apache auf Port 80 und nichts auf Port 81 hat):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: Und um sicherzugehen, dass dies wirklich funktioniert hat telnet, gehen Sie von einem anderen Feld aus und überprüfen netcatSie, ob das empfangen wird, was Sie senden (wahrscheinlich möchten Sie das --waitTimeout erhöhen ).

— Nickgrim
quelle

Dies hat bewiesen, dass das Problem nicht auf dem Server liegt - ein Scan eines anderen Hosts listet dieselben Ports auf, die geöffnet waren, als sie nicht geöffnet waren!

— Alex

Obwohl dies die direkte Frage nicht beantwortete, habe ich Ihnen eine positive Bewertung gegeben, da dies eine großartige Möglichkeit war, festzustellen, ob die Ports verwendet wurden oder nicht. Danke für deinen Beitrag.

— Alex

7

Ihr Router ist wahrscheinlich schuld. Ich habe mich nur gefragt, ob dies ein Problem mit einem OpenVZ-Host ist, und habe diesen Artikel gefunden: Sind die Ports 21, 554 und 7070 geöffnet oder geschlossen? Die Antwort ist ja.

Dies ist für mich sinnvoll, da ich derzeit auf einem beschissenen FiOS Actiontec-Router bin. Jede Kombination von nmap- und Netcat-Tests auf dem Container- und Hostknoten bestätigt, dass diese Ports nicht wirklich geöffnet sind.

— lunistorvalds
quelle

1

+1 für beschissenen FiOS Actiontec Router . Ich kenne die privaten Schlüssel Ihrer Box (andere auch dank Little Black Box ).

Ich habe gewechselt, bevor ich FiOS verloren habe, aber jetzt verwende ich einen besser sicheren Router mit meinem drahtlosen "Router" im AP-Modus. Jeder, der diesen Artikel liest, sollte sich das verknüpfte Projekt ansehen. Netter Blog auch :)

— lunistorvalds

Nur ein Kopf hoch: Dies ist derzeit noch bei Apple Airport Extreme der Fall. Ich habe es beim Testen der Firewall-Einstellungen für die Amazon ec2-Instanz in meinem Heimnetzwerk auf die harte Tour herausgefunden.

— Jlapoutre

5

Verschiedene Router (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) zeigen Ports an 554und sind 7070aus irgendeinem Grund für alle IPs offen.

Hackerific »Falsch positive TCP-Ports!

— Zaz
quelle

2

+1 für den exzellenten Hackerific Link.

— Codingoutloud

0

Ich stimme Nickgrim zu. Möglicherweise möchten Sie auch lokale nmap-Scans aus der Box selbst ausprobieren

Vergleichen Sie die Ausgabe dieser:

nmap 127.0.0.1

nmap 1.2.3.4

Wobei 1.2.3.4 Ihre öffentliche IP ist

— portforwardpodcast
quelle

0

Dies kann ein RTSP-ALG (Application Layer Gateway) auf Ihrem Heim-Hub sein, das den Datenverkehr abfängt und eine Antwort bereitstellt.

— AndrewW
quelle

0

Verwenden Sie eine VM unter ESXi Guest? Ich fing an, gefälschte 554/7070 Ergebnisse zu haben, als ich meine Kali Linux VM von Workstation auf ESXi verlagerte. Sie können die Latenz überprüfen:

nmap yourip --reason -p 7070 --traceroute

Überprüfen Sie die unterschiedliche Anzahl von Hops von 554- und 7070-Ports mit normalen Ports ...

— Enrico Sandri
quelle