Unknow service na porcie...

[nowalijka]

Witam,

Zaniepokoiło mnie to unknow na porcie 11211

Kod: Zaznacz cały

nmap localhost -p 1-65535

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-10 10:30 IST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 65527 closed ports
PORT      STATE SERVICE
25/tcp    open  smtp
80/tcp    open  http
81/tcp    open  hosts2-ns
82/tcp    open  xfer
631/tcp   open  ipp
3306/tcp  open  mysql
8080/tcp  open  http-proxy
11211/tcp open  unknown

Jak mogę ustalić co korzysta z tego portu i jak to zablokować?
Pozdrawiam,

[dawwin]

http://en.wikipedia.org/wiki/List_of_TC ... rt_numbers

Skanując localhost zawsze znajdziesz więcej otwartych portów, niż skanując ten sam komputer przez zewnętrzny adres. Ten port może być otwarty dla localhost a na zewnątrz już nie. Spróbuj przeskanować twój komputer używając adresu np. z eth0

[jacekalex]

Pokaż wynik:

Kod: Zaznacz cały

sudo lsof -i :11211
nmap -p 11211  -sV localhost 

To by było na tyle

[nowalijka]

Wygląda na to, że jest to caching daemon memcache. @dawwin dzięki za listę;) Z zewnątrz wygląda OK, tylko 80 jest otwarty.

i potwierdzenie

Kod: Zaznacz cały

lsof -i :11211
COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
memcached 1432 nobody   26u  IPv4   5223      0t0  TCP localhost:11211 (LISTEN)
memcached 1432 nobody   27u  IPv4   5225      0t0  UDP localhost:11211 

nmap -p 11211  -sV localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-10 10:57 IST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
PORT      STATE SERVICE  VERSION
11211/tcp open  memcache memcached

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.37 seconds

Jeśli prawidłowo to interpretuję, to memcache jest uruchamiany razem z apache.
Dziękuję dawwin i jacekalex za błyskawiczną reakcję. Red alert w stanie spoczynku;)

Pozdrawiam,

[nowalijka]

No i pojawiła mi są nowa nieznana usługa na porcie 34889:

Kod: Zaznacz cały

nmap localhost -p 1-65535

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-20 00:02 IST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 65526 closed ports
PORT      STATE SERVICE
25/tcp    open  smtp
80/tcp    open  http
81/tcp    open  hosts2-ns
82/tcp    open  xfer
631/tcp   open  ipp
3306/tcp  open  mysql
8080/tcp  open  http-proxy
11211/tcp open  unknown
34889/tcp open  unknown

i wynik polecania:nmap -p 34889 -sV localhost

Kod: Zaznacz cały

nmap -p 34889  -sV localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-19 23:58 IST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
PORT      STATE SERVICE VERSION
34889/tcp open  unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port34889-TCP:V=5.00%I=7%D=10/19%Time=4CBE228C%P=i686-pc-linux-gnu%r(Ge
SF:tRequest,134,"HTTP/1\.0\x20401\x20Unauthorized\r\nWWW-Authenticate:\x20
SF:Basic\x20realm=\"administrator\"\r\nServer:\x20CouchDB/0\.10\.0\x20\(Er
SF:lang\x20OTP/R13B\)\r\nDate:\x20Tue,\x2019\x20Oct\x202010\x2022:58:20\x2
SF:0GMT\r\nContent-Type:\x20text/plain;charset=utf-8\r\nContent-Length:\x2
SF:061\r\nCache-Control:\x20must-revalidate\r\n\r\n{\"error\":\"unauthoriz
SF:ed\",\"reason\":\"Authentication\x20required\.\"}\n")%r(HTTPOptions,134
SF:,"HTTP/1\.0\x20401\x20Unauthorized\r\nWWW-Authenticate:\x20Basic\x20rea
SF:lm=\"administrator\"\r\nServer:\x20CouchDB/0\.10\.0\x20\(Erlang\x20OTP/
SF:R13B\)\r\nDate:\x20Tue,\x2019\x20Oct\x202010\x2022:58:20\x20GMT\r\nCont
SF:ent-Type:\x20text/plain;charset=utf-8\r\nContent-Length:\x2061\r\nCache
SF:-Control:\x20must-revalidate\r\n\r\n{\"error\":\"unauthorized\",\"reaso
SF:n\":\"Authentication\x20required\.\"}\n")%r(FourOhFourRequest,134,"HTTP
SF:/1\.0\x20401\x20Unauthorized\r\nWWW-Authenticate:\x20Basic\x20realm=\"a
SF:dministrator\"\r\nServer:\x20CouchDB/0\.10\.0\x20\(Erlang\x20OTP/R13B\)
SF:\r\nDate:\x20Tue,\x2019\x20Oct\x202010\x2022:58:45\x20GMT\r\nContent-Ty
SF:pe:\x20text/plain;charset=utf-8\r\nContent-Length:\x2061\r\nCache-Contr
SF:ol:\x20must-revalidate\r\n\r\n{\"error\":\"unauthorized\",\"reason\":\"
SF:Authentication\x20required\.\"}\n");

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 71.58 seconds

?

[jacekalex]

Nmap to skaner portów, działa głównie na zdalne hosty.
Żeby sprawdzić, co działa u Ciebie - używaj netstat albo lsof - oba są od tego:
np:

Kod: Zaznacz cały

sudo lsof -i :34889

-nic nie pokazuje?

[nowalijka]

Po zablokowaniu tego portu wczoraj, usługa wybierała sobie jakiś następny losowy. Wczoraj też był update systemu, dość spory. Dziś na liście usług takiej pozycji już nie mam. Szkoda. Nie wiem co to było...

@jacekalex dziękuję za wskazówki.

Pozdrawiam,