web sunucumdaki nmap TCP bağlantı noktaları 554 ve 7070'i açık gösteriyor

11

Benim için çeşitli web sitelerini barındıran bir web sunucum var. Dışarıdan erişilebilen iki hizmet SSH ve Apache2'dir. Bunlar sırasıyla standart olmayan ve standart bir bağlantı noktasında çalışır. Diğer tüm bağlantı noktaları arno-iptables-firewall ile açıkça kapatılır. Ana bilgisayar Debian Testi çalıştırıyor.

Nmap kullanarak ana bilgisayar taramasının farklı bilgisayarlardan farklı sonuçlar verdiğini fark ettim. Ev ağımdaki dizüstü bilgisayarımdan (BT Homehub'ın arkasında) aşağıdakileri alıyorum:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

nmap 5.00 ile ABD tabanlı bir sunucudan ve Norveç'te nmap 5.21 çalıştıran bir Linux kutusundan tarama yaparken aşağıdakileri alıyorum:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

bu yüzden umut benim iç ağ veya yukarı oynuyor ISS, ama emin olamaz.

Bir çalıştırmak netstat -l | grep 7070hiçbir şey üretmez. Benzer şekilde 554 numaralı bağlantı noktası için.

Gördüğüm özellikleri açıklayan var mı?

security debian port

— Alex
kaynak

Her iki sonucun aynı anda yapılan taramalardan olup olmadığı.

— pradeepchhetri

3

Şans eseri ev ağınızda bir Apple havaalanı aşırı veya Apple saat kapsülü kullanıyor musunuz?

— faker

İnanıyorum ki DLNA uyumlu bir hizmet sunan bir Buffalo NAS'ım var.

— Alex

Bu da benim başıma geliyor - Apple Time Capsule'un arkasındayım. :(

— pawstrong

1

Bu büyük olasılıkla hatta bir şey, bu 2 port (554/7070) gerçek oyuncular RealServers içindir.

http://service.real.com/firewall/adminfw.html

— Wyck
kaynak

Size katılıyorum. Teşekkürler. Nickgrim'in önerisini yaptım ve hala limanı açabileceğimi kanıtladı (beni kandırmak için netcat, netstat ve diğer ilgili ikili dosyaların yerine rootkit alınmadığını varsayalım!).

— Alex

BTW, durumun bu olduğunu nasıl kanıtlayabilirim?

— Alex

@ atc: telnetyeni dinlemenize netcatve ona yazdıklarınızı alıp almadığını kontrol edin.

— nickgrim

10

Bunun için ISS'nizi veya sunucunuzla sizin aranızdaki bir şeyi suçlamaya meyilli olurum. Sadece bu bağlantı noktalarının gerçekten kapalı olduğundan emin olmak istiyorsanız, bu bağlantı noktalarını dinlemeyi deneyebilirsiniz ve başarılı olursa zaten dinleyen bir şey olmadığını varsaymak güvenlidir. İşte makinemde ne yapıyorum (80 numaralı bağlantı noktasında Apache var ve 81 numaralı bağlantı noktasında hiçbir şey yok):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

DÜZENLEME: Ve bunun gerçekten işe yaradığından emin olmak telnetiçin, başka bir kutudan ona gönderin ve netcatgönderdiğiniz şeyi aldığını kontrol edin (muhtemelen --waitzaman aşımını artırmak isteyeceksiniz ).

— nickgrim
kaynak

Bu, sorunun sunucuda olmadığını kanıtladı - başka bir ana bilgisayarın taranması, aynı bağlantı noktalarını açık olmadıklarında açık olarak listeledi!

— Alex

Bu doğrudan soruyu cevaplamamasına rağmen, portların kullanılıp kullanılmadığını iddia etmenin harika bir yolu olduğu için size bir oylama yaptım. Girdiniz için teşekkürler.

— Alex

7

Yönlendiriciniz muhtemelen suçlu. Sadece bunun bir OpenVZ ana bilgisayarında olmakla ilgili bir sorun olup olmadığını merak ediyordum ve şu makaleyi buldum: 21, 554 ve 7070 numaralı bağlantı noktaları açık mı kapalı mı? Cevap Evet.

Şu anda berbat bir FiOS Actiontec yönlendiricisindeyken bu benim için anlamlı. Kapsayıcı ve ana bilgisayar düğümündeki nmap ve netcat testlerinin herhangi bir kombinasyonu, bu bağlantı noktalarının gerçekten açık olmadığını doğrular.

— lunistorvalds
kaynak

1

Crappy FiOS Actiontec yönlendirici için +1 . Kutunuzun özel anahtarlarını biliyorum (diğerleri de, Küçük Kara Kutu sayesinde ).

FiOS'u kaybetmeden önce geçiş yaptım, ancak şimdi AP modunda kablosuz "yönlendiricim" ile daha iyi bir güvenli yönlendirici kullanıyorum. Bu makaleyi okuyan herkes projenin bağlantılı olduğunu kontrol etmelidir. Nice blog also :)

— lunistorvalds

Dikkat edin: Bu, şu anda Apple Airport Extreme için hala geçerli. Ev ağımdan Amazon ec2 örneği için güvenlik duvarı ayarlarını test ederken zor yolu öğrendim.

— jlapoutre

5

Çeşitli farklı yönlendiriciler (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) portları gösterir 554ve 7070bir nedenle tüm IP'lere açıktır.

Hackerific »Yanlış pozitif TCP bağlantı noktaları!

— Zaz
kaynak

2

Mükemmel Hackerific bağlantısı için +1.

— codingoutloud

0

Nickgrim ile hemfikirim. Ayrıca kutunun kendisinden yerel nmap taramalarını denemek isteyebilirsiniz

Bunların çıktılarını karşılaştırın:

nmap 127.0.0.1

nmap 1.2.3.4

1.2.3.4 herkese açık ip adresiniz

— portforwardpodcast
kaynak

0

Bu, ana hub'ınızda trafiği yakalayan ve yanıt veren bir RTSP ALG (Uygulama Katmanı Ağ Geçidi) olabilir.

— andreww
kaynak

0

ESXi Misafirinde VM kullanıyor musunuz? Kali linux VM'mi Workstation'dan ESXi'ye taşıdığımda sahte 554/7070 sonuç almaya başladım. Gecikmeyi doğrulayabilirsiniz:

nmap yourip - neden -p 7070 - traceroute

Normal portlu 554 ve 7070 portların farklı atlama sayısını kontrol edin ...

— Enrico Sandri
kaynak