Od jakiegoś czasu obserwuje że gdy używam aplikacji "Narzędzia sieciowe" to co któreś skanowanie zwraca mi że są otwarte wysokie porty jak na screenie:
http://vviktor.pl/Share/portscan1.png
które mnie zaniepokoiły. Aktualnie mam zainstalowanego Debiana ale pamiętam że podobną przypadłość miałem również wcześniej na Ubuntu. Ponieważ bałem się że to jakiś rootkit skanowałem różnymi narzędziami takimi jak rkhunter dyski (mam dwa) z poziomu livecd ale nic nie wykrywał. Próbowałem przeinstalowywać GRUBa i to również nie pomogło. Co dziwne odpaliłem KNOPIXXa z livecd z jakiegoś czasopisma i tam takich portów wysokich nie widzi.
Moje pytanie czy to może być jakiś bardzo inteligentny rootkit który potrafi rozprzestrzeniać się na obrazy wypalanych płyt czy po prostu zbytnio dramatyzuje i to jakaś zwykła przypadłość systemu/sprzętu?
Przepraszam jeśli zły dział, proszę wtedy o przeniesienie do prawidłowego bo wydaje mi się że to temat związany z bezpieczeństwem ale nie znalazłem takiego działu na forum.
Otwarte wysokie porty w "Narzędzia sieciowe"
-
jacekalex
- Gibki Gibbon
- Posty: 4707
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Odp: Otwarte wysokie porty w "Narzędzia sieciowe"
Skanując prze localhosta zawsze jest trochę takich portów.
na przykład port 631 to cups - webowy interfejs zarządzania drukarkami.
Do skanowania portów - zainteresuj się nmapem, a jak skonfigurujesz firewall - na forum był ten temat poruszany (szukaj iptables) lub zainstalujesz nakładkę np. firestarter - to wtedy te porty przez internet będą niedostępne.
Po za tym niektóre usługi nie wszystkim są potrzebne - np. u mnie avahi i inet są potrzebne - jak psu na budę - więc je wyłączam.
A jeśli włączasz np. skype -to on zaczyna nasluchiwać na jakims wysokim porcie i też go będzie widać.
takie polecenie wyświetli ci listę usług z nazwami portów - na których nasłuchują:
Pozdrawiam
na przykład port 631 to cups - webowy interfejs zarządzania drukarkami.
Do skanowania portów - zainteresuj się nmapem, a jak skonfigurujesz firewall - na forum był ten temat poruszany (szukaj iptables) lub zainstalujesz nakładkę np. firestarter - to wtedy te porty przez internet będą niedostępne.
Po za tym niektóre usługi nie wszystkim są potrzebne - np. u mnie avahi i inet są potrzebne - jak psu na budę - więc je wyłączam.
A jeśli włączasz np. skype -to on zaczyna nasluchiwać na jakims wysokim porcie i też go będzie widać.
takie polecenie wyświetli ci listę usług z nazwami portów - na których nasłuchują:
Kod: Zaznacz cały
sudo lsof -i | grep -i listenPozdrawiam
-
vViktor
- Piegowaty Guziec
- Posty: 2
- Rejestracja: 13 wrz 2008, 14:52
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.04
- Środowisko graficzne: GNOME
- Architektura: x86
- Kontakt:
Odp: Otwarte wysokie porty w "Narzędzia sieciowe"
Hmm ok dzięki. Tylko teraz jeszcze takie pytanko. Dlaczego nmap oraz to polecenie które podałeś mi takich portów już nie wyświetla. Nie mam żadnego skype więc nie wiem co te porty może otwierać. Poza tym z każdym skanowaniem tym narzędziem z gnome'a są otwarte inne porty (chodzi mi o te bardzo wysokie bo te dwa pierwsze ze screena to wiem co to jest sam ustawiłem jedną z usług przykładowo ten 1604). Martwi mnie że z każdym skanowaniem narzędziem gnome-nettool raz wyskakuje coś w stylu 51356 a raz np. 35163 i kilka innych wysokich (zmieniają się tak co każde skanowanie) 
-
jacekalex
- Gibki Gibbon
- Posty: 4707
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Odp: Otwarte wysokie porty w "Narzędzia sieciowe"
A czy przypadkiem nie używasz firefoxa?
Bo tak to już jest - że jeśli jakiś program wysyła zapytanie z portu np. 55212 -do serwera onet port 80 - to potem oczekuje na porcie 55212 - na odpowiedź onetu? - i potem masz otwarty port - na chwilę - na jedno połączenie.
Nmap i lsof ignorują nieistotne informacje - natomiast narzędzia sieciowe - z doświadczenia wiem - że daleko im do doskonałości.
Ja tam z nmapem i lsof nie mam problemów, a jak skonfigurujesz firewalla - radzę stworzyć skrypt do iptables - i sprawdzić - co oznaczają kolejne reguły - firewalle kilkane - typu firestarter czy ufw tworzą kilkaset reguł - z których co do niektórych - nie wiadomo co to robi i po co.
A linux - to nie Windows - tu jak nie otworzysz jakiegoś portu na firewallu - to nawet serwer który nasłuchuje na tym porcie nie jest widoczny w sieci.
Natomiast jak skanujesz przez localhosta - klasa adresów 127.0.0.1/8 - to to jest wewnętrzna pętla w systemie - przez nią komunikują się różne programy - tam firewall się wyłącza, jeśli go tam włączysz - na localhoście - to nawet gnome zwariuje - bo nie będzie miało połączenia z serwerem gconf - kiedyś miałem taki cyrk.
Prawdziwy obraz sytuacji - to audyt nessus'em czy openvas'em przez internet - tak możesz dokładnie sprawdzić - co słychać w firewallu.
Ale do tego trzeba drugiego kompa - gdzieś w necie - lub przynajmniej za switchem,
na którym jest demon nessusa - ty u siebie masz klienta i jazda.
Wygeneruje ci elegancki raport na temat niebezpiecznych uslug na badanym komputerze.
W formacie html - do obejrzenia w firefoxie.
A na strach- przede wszystkim firewall - ponadto {/dansguardian/havp/squid-safe} + {snort & guardian/snortsam} + ossec.
Żeby sie tylko nie okazało że zabezpieczenia zeżrą 90 % procka i pamięci.
A jak czegoś nie pokazuje, to spróbuj
i zobacz - czego nie pokazuje.
To by było na tyle.
Bo tak to już jest - że jeśli jakiś program wysyła zapytanie z portu np. 55212 -do serwera onet port 80 - to potem oczekuje na porcie 55212 - na odpowiedź onetu? - i potem masz otwarty port - na chwilę - na jedno połączenie.
Nmap i lsof ignorują nieistotne informacje - natomiast narzędzia sieciowe - z doświadczenia wiem - że daleko im do doskonałości.
Ja tam z nmapem i lsof nie mam problemów, a jak skonfigurujesz firewalla - radzę stworzyć skrypt do iptables - i sprawdzić - co oznaczają kolejne reguły - firewalle kilkane - typu firestarter czy ufw tworzą kilkaset reguł - z których co do niektórych - nie wiadomo co to robi i po co.
A linux - to nie Windows - tu jak nie otworzysz jakiegoś portu na firewallu - to nawet serwer który nasłuchuje na tym porcie nie jest widoczny w sieci.
Natomiast jak skanujesz przez localhosta - klasa adresów 127.0.0.1/8 - to to jest wewnętrzna pętla w systemie - przez nią komunikują się różne programy - tam firewall się wyłącza, jeśli go tam włączysz - na localhoście - to nawet gnome zwariuje - bo nie będzie miało połączenia z serwerem gconf - kiedyś miałem taki cyrk.
Prawdziwy obraz sytuacji - to audyt nessus'em czy openvas'em przez internet - tak możesz dokładnie sprawdzić - co słychać w firewallu.
Ale do tego trzeba drugiego kompa - gdzieś w necie - lub przynajmniej za switchem,
na którym jest demon nessusa - ty u siebie masz klienta i jazda.
Wygeneruje ci elegancki raport na temat niebezpiecznych uslug na badanym komputerze.
W formacie html - do obejrzenia w firefoxie.
A na strach- przede wszystkim firewall - ponadto {/dansguardian/havp/squid-safe} + {snort & guardian/snortsam} + ossec.
Żeby sie tylko nie okazało że zabezpieczenia zeżrą 90 % procka i pamięci.
A jak
Kod: Zaznacz cały
sudo lsof -i | grep -i listenKod: Zaznacz cały
sudo lsof -iTo by było na tyle.
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości