nmap na moim serwerze pokazuje, że porty TCP 554 i 7070 są otwarte

11

Mam serwer internetowy, który udostępnia mi różne strony internetowe. Dwie usługi dostępne na zewnątrz to SSH i Apache2. Działają one odpowiednio na niestandardowym i standardowym porcie. Wszystkie pozostałe porty są jawnie zamykane przez arno-iptables-firewall. Host uruchamia testy Debiana.

Zauważyłem, że skanowanie hosta za pomocą nmap dało różne wyniki z różnych komputerów. Z laptopa w mojej sieci domowej (za BT Homehub) otrzymuję:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

mając na uwadze, że skanowanie z serwera w USA z nmap 5.00 i Linux-em w Norwegii z nmap 5.21 otrzymuję:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

więc mam nadzieję, że gra moja wewnętrzna sieć lub dostawca usług internetowych, ale nie jestem pewien.

Uruchomienie netstat -l | grep 7070nic nie daje. Podobnie dla portu 554.

Czy ktoś może wyjaśnić osobliwości, które widzę?

security debian port

— Alex
źródło

Czy oba wyniki dotyczą skanów wykonanych w tym samym czasie.

— pradeepchhetri

3

Czy przypadkiem używasz ekstremalnego lotniska Apple lub kapsuły czasowej Apple w swojej sieci domowej?

— faker

Mam Buffalo NAS, który obsługuje usługę kompatybilną z DLNA.

— Alex

To mi się też zdarza - jestem za Apple Time Capsule. :(

— pawstrong

1

Najprawdopodobniej jest to coś w linii, te 2 porty (554/7070) są przeznaczone dla prawdziwych graczy RealServers.

http://service.real.com/firewall/adminfw.html

— Wyck
źródło

Zgadzam się z Tobą. Dzięki. Zrobiłem to, co zasugerował Nickgrim, i udowodniłem, że nadal mogę otworzyć port (zakładając, że żaden rootkit nie zastąpi netcat, netstat i innych powiązanych plików binarnych, aby mnie oszukać!).

— Alex

BTW, jak mogę to udowodnić?

— Alex

@atc: telnetdo nowo słuchającego netcati sprawdź, czy odbiera to, co piszesz na nim.

— nickgrim

10

Byłbym skłonny obwiniać za to twojego ISP lub coś pomiędzy tobą a twoim serwerem. Jeśli chcesz się upewnić, że te porty są naprawdę zamknięte, możesz spróbować nasłuchiwać na tych portach, a jeśli się powiedzie, możesz bezpiecznie założyć, że nic już nie nasłuchuje. Oto, co robię na moim komputerze (który ma Apache na porcie 80 i nic na porcie 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDYCJA: Aby mieć pewność, że to naprawdę zadziałało, przejdź telnetdo innego pola i sprawdź, netcatczy otrzymujesz to, co wysyłasz (prawdopodobnie będziesz chciał zwiększyć --waitlimit czasu).

— nickgrim
źródło

To udowodniło, że problem nie występuje na serwerze - skan innego hosta wykazał, że te same porty są otwarte, gdy nie były!

— Alex

Chociaż to nie odpowiedziało na bezpośrednie pytanie, wyraziłem zgodę, ponieważ był to świetny sposób na sprawdzenie, czy porty były używane, czy nie. Dzięki za wkład.

— Alex

7

Twój router prawdopodobnie jest winien. Zastanawiałem się, czy to jest problem z byciem na hoście OpenVZ, i znalazłem ten artykuł: Czy porty 21, 554 i 7070 są otwarte czy zamknięte? Odpowiedź brzmi tak.

Ma to dla mnie sens, ponieważ jestem obecnie na kiepskim routerze FiOS Actiontec. Każda kombinacja testów nmap i netcat na kontenerze i węźle hosta potwierdza, że te porty nie są naprawdę otwarte.

— lunistorvalds
źródło

1

+1 za kiepski router FiOS Actiontec . Znam prywatne klucze twojej skrzynki (podobnie jak inni dzięki Little Black Box ).

Przełączałem się zanim straciłem FiOS, ale teraz korzystam z lepszego bezpiecznego routera z moim bezprzewodowym „routerem” w trybie AP. Każdy, kto czyta ten artykuł, powinien sprawdzić ten projekt powiązany. Miły blog również :)

— lunistorvalds

Tylko jedna uwaga: wciąż tak jest w przypadku Apple Airport Extreme. Sprawdziłem to podczas testowania ustawień zapory ogniowej dla instancji Amazon ec2 z mojej sieci domowej.

— jlapoutre

5

Różne routery (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) z jakiegoś powodu pokazują porty 554i 7070są otwarte dla wszystkich adresów IP.

Hackerific »Fałszywe pozytywne porty TCP!

— Zaz
źródło

2

+1 za doskonały link hakerski.

— codingoutloud

0

Zgadzam się z nickgrim. Możesz także wypróbować lokalne skany nmap z samego pudełka

Porównaj wyniki tych:

nmap 127.0.0.1

nmap 1.2.3.4

Gdzie 1.2.3.4 to twój publiczny adres IP

— portforwardpodcast
źródło

0

Może to być RTSP ALG (Application Layer Gateway) w twoim domowym hubie przechwytującym ruch i zapewniającym odpowiedź.

— AndrewW
źródło

0

Czy używasz maszyny wirtualnej na gościu ESXi? Zacząłem uzyskiwać fałszywe wyniki 554/7070, kiedy przeniosłem moją maszynę wirtualną Kali Linux ze stacji roboczej do ESXi. Możesz zweryfikować opóźnienie:

nmap yourip - powód -p 7070 --traceroute

Sprawdź inną liczbę przeskoków portów 554 i 7070 z normalnymi portami ...

— enrico sandri
źródło