Plötzlich offene Ports unbekannter Herkunft

[sihulu]

Vorgestern berichtete mir nmap $HOSTNAME und nmap localhost:

1417/tcp open timbuktu-srv1

Gestern war der Port 1417 wieder verschwunden und heute berichtet mit nmap:

2120/tcp open kauth

Habe schon stundenlang erfolglos danach gegoogelt welches Paket oder binary unter Linux einen Timbuktu Server ausschließlich auf Port 1417 bereitstellt. Mit htop oder ps -A habe ich auch keine Auffälligkeiten gefunden. Ich habe Debian Etch erst vor ein paar Tagen auf meinem Notebook neu installiert, uns ausser der Basisinstallation bisher kaum weitere Pakete drauf. Kein X, keinen Email-Klient. Die einzige Verbindung ins Internet fand bisher über apt und wget für den ipw2200 WLAN Treiber statt. Auf einem anderen PC läuft Debian Etch schon länger ohne diese Auffälligkeiten.

Kann mir jemand sagen, ob sich mein Notebook was "eingefangen" hat, oder sind diese wechselnden offenen Ports normal?

[gms]

rufe einmal

Code: Alles auswählen

netstat -tulpn

auf dem Notebook auf und überprüfe den Prozeß der dir seltsam erscheint

Gruß
gms

[comes]

siehe: http://www.iana.org/assignments/port-numbers

[nepos]

siehe: http://www.iana.org/assignments/port-numbers

Die Ausgabe von nmap ist nichts anderes als die IANA-Portliste, meines Wissens jedenfalls.
Um wirklich zu sehen, welcher Prozess welchen Port offen hat, dazu hat gms ja schon was geschrieben.

[sihulu]

Danke für den Hinweis auf netstat. Auf Port 2120/tcp horcht rpc.statd. Ich habe das binary /sbin/rpc.statd mit dem binary im Paket nfs-common verglichen und debsums darüberlaufen lassen. Alles soweit unauffällig.

Auf meinem anderen Rechner berichtet netstat, daß rpc.statd auf 1284/tcp (iee-qfx laut der IANA-Liste) horcht. Aber nmap berichtet das nicht.

Möglicherweise war der Zuhörer auf Port 1417/tcp ebenfalls rpc.statd. Leider kann ich das nicht mehr überprüfen. Scheinbar horcht rpc.statd so nach Lust und Laune auf beliebigen Ports. Aber das widerspräche doch der Server/Service - Port Zuordnung, oder? Ich bin verwirrt.