wie port 911 schließen? [gelöst]

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

wie port 911 schließen? [gelöst]

Beitrag von docNet » 04.03.2005 14:04:10

hallo,

Code: Alles auswählen

docnet@amilo:~$ nmap -sT localhost

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-03-04 14:01 CET
Interesting ports on localhost (127.0.0.1):
(The 1658 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
111/tcp open  rpcbind
139/tcp open  netbios-ssn
911/tcp open  unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 0.200 seconds
docnet@amilo:~$
warum ist der port offen. und was ist es ?
in der /etc services finde ich nix.
Zuletzt geändert von docNet am 04.03.2005 15:25:54, insgesamt 1-mal geändert.
break on through to the other side
Nach oben
Benutzeravatar
Maikel
Beiträge: 1267
Registriert: 13.04.2004 15:39:25
Wohnort: Gelsenkirchen
Kontaktdaten:

Beitrag von Maikel » 04.03.2005 14:09:23

IANAsagt das:

Code: Alles auswählen

xact-backup     911/tcp    xact-backup
xact-backup     911/udp    xact-backup
#                          Bill Carroll <billc@xactlabs.com>
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it ;)"
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:09:33

überprüfe einmal mit "netstat -tlp" was dort für ein Prozeß läuft
Nach oben
Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22447
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Beitrag von KBDCALLS » 04.03.2005 14:12:12

Versuch mal mit

Code: Alles auswählen

lsof -i:911
fuser -uv 911/tcp
fuser -uv 911/udp


festzustellen wer den Port in Beschlag hat.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:13:38

@Maikel
danke, aber was ist xact-backup?
heute morgen war der port noch nicht offen?

bye
break on through to the other side
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:17:13

@gms

Code: Alles auswählen

amilo:/home/docnet# netstat -tlp
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 *:netbios-ssn           *:*                     LISTEN     3284/inetd          
tcp        0      0 localhost:911           *:*                     LISTEN     3279/famd           
tcp        0      0 *:sunrpc                *:*                     LISTEN     2872/portmap        
tcp        0      0 localhost:5335          *:*                     LISTEN     3292/mDNSResponder  
tcp        0      0 localhost:smtp          *:*                     LISTEN     3272/exim4          
tcp6       0      0 *:ssh                   *:*                     LISTEN     3324/sshd
break on through to the other side
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:18:42

@KBDCALLS

Code: Alles auswählen

amilo:/home/docnet# lsof -i:911
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
famd    3279 root    3u  IPv4   5789       TCP localhost:911 (LISTEN)
amilo:/home/docnet#
sorry, aber mir sagt das alls leider nicht viel?
danke für eure hilfe
break on through to the other side
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:18:52

der Port wird auch unter
"What port numbers do well-known trojan horses use?"
http://www.sans.org/resources/idfaq/oddports.php
gefunden
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:23:33

@gms
okey, aber was soll ich jetzt machen?
break on through to the other side
Nach oben
Benutzeravatar
Joghurt
Beiträge: 5244
Registriert: 30.01.2003 15:27:31
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Joghurt » 04.03.2005 14:23:51

Ja, FAM kann man auch als Trojaner bezeichnen ;)

@docNet: Die Ausgabe zeigt doch, dass FAM an Port 911 lauscht.
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:24:31

famd ist harmlos du solltest aber folgendes überprüfen:

/etc/fam.conf

Code: Alles auswählen

local_only = true
[edit]
ist mir jetzt gerade aufgefallen, wenn ich den famd restarte ändert sich der LISTEN Port.
Was ist denn das für ein Feature :)
[/edit]
Nach oben
Benutzeravatar
Maikel
Beiträge: 1267
Registriert: 13.04.2004 15:39:25
Wohnort: Gelsenkirchen
Kontaktdaten:

Beitrag von Maikel » 04.03.2005 14:27:12

docNet hat geschrieben:@Maikel
danke, aber was ist xact-backup?
heute morgen war der port noch nicht offen?

bye
Kenn ich auch nicht. Ich hatte das gepostet in der Hoffnung das du es dann zuordnen könntest.
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it ;)"
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:28:16

@Joghurt
@gms
vielen dank für eure antworten.
/etc/fam.conf
Code:

local_only = true
hab ich überürüft = true
kann ich diesen port manuel schließen.
und wie so ist er aufenmal offen?
thx docnet
break on through to the other side
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:30:49

der sollte eigentlich nur lokal lauschen, ist zumindestens bei mir der Fall:

Code: Alles auswählen

root:~# netstat -tlp | grep famd
tcp        0      0 localhost.localdoma:679 *:*                     LISTEN     9407/famd
[edit]
ansonsten über die Firewall schließen
[/edit]
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:31:57

@gms
ist mir jetzt gerade aufgefallen, wenn ich den famd restarte ändert sich der LISTEN Port.
Was ist denn das für ein Feature Smile
bei mir auch :) ist jetzt 683
was ist fam überhaupt?
gruss docnet
break on through to the other side
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:34:18

eigentlich ein unnötiger Prozeß der oftmals beim unmounten Ärger macht

Code: Alles auswählen

root:~# apt-cache search ^fam
fam - File Alteration Monitor

root:~# apt-get --purge remove fam
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut... Fertig
Die folgenden Pakete werden ENTFERNT:
  fam* gnome-commander* gnome-desktop-environment*
0 aktualisiert, 0 neu installiert, 3 zu entfernen und 5 nicht aktualisiert.
Es müssen 0B Archive geholt werden.
Nach dem Auspacken werden 1257kB Plattenplatz freigegeben sein.
Möchten Sie fortfahren? [J/n]
wurde bei mir nur wegen gnome installiert
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:34:57

ist das so jetzt okey?

Code: Alles auswählen

amilo:/home/docnet# netstat -tlp | grep famd
tcp        0      0 localhost:683           *:*                     LISTEN     3899/famd           
amilo:/home/docnet#
bye
break on through to the other side
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:36:05

yep


so wäre es nicht so toll:

Code: Alles auswählen

amilo:/home/docnet# netstat -tlp | grep famd 
tcp        0      0 *:683           *:*                     LISTEN     3899/famd            
amilo:/home/docnet#
Zuletzt geändert von gms am 04.03.2005 14:36:21, insgesamt 1-mal geändert.
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Beitrag von nepos » 04.03.2005 14:36:17

Oder einfach deinstallieren, falls du das nicht brauchen solltest...
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:39:12

hmm, ich kann nämlich z.b. keine cd mounten?
break on through to the other side
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 04.03.2005 14:41:19

also für alles kannst du den famd nicht verantwortlich machen :)
Nein der verhindert nur zeitweise das unmounten (wenn er noch auf das Filesystem zugreift)
Nach oben
Benutzeravatar
docNet
Beiträge: 876
Registriert: 03.08.2004 15:00:06
Wohnort: Wiesbaden

Beitrag von docNet » 04.03.2005 14:44:41

vielen dank an euch.
hab fam deinstalliert.

bye docnet
break on through to the other side
Nach oben
Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22447
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Beitrag von KBDCALLS » 04.03.2005 14:48:15

Code: Alles auswählen

matthias@biljana:~$ aptitude search fam
p   fam                             - File Alteration Monitor


Reagiert auf Zustandsänderungen von Geräten. Eingelegte CD zum Beispiel
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Nach oben
Antworten

Zurück zu „Netzwerk“