Unbekannte Einträge bei nmap

za0 · Beitrag von **za0** » 27.12.2006 18:12:57

Hi,

ich habe hier ein System vorgelegt bekommen, welches eben frisch mit Sarge bezogen worden ist. Und siehe da:

PORT     STATE    SERVICE
135/tcp  filtered msrpc
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
1723/tcp filtered pptp
4444/tcp filtered krb524

sagt nmap.

Was zum Henker ist das für ein MS-Zeug und wie werde ich es los? Ich habe eben nachgeguckt und festgestellt, dass da kein SMB installiert is.

Danke für die Hilfe.

Edit by Snoopy:
Topic angepasst...mit "Was'n das ?" kann man nicht viel anfangen.

herrchen · Beitrag von **herrchen** » 27.12.2006 18:19:45

za0 hat geschrieben:Ich habe eben nachgeguckt und festgestellt, dass da kein SMB installiert is.

vielleicht solltest du, direkt auf dem rechner, einmal mit "netstat -plaunt" und "ps aux" nachsehen, was dort wirklich läuft.

herrchen

Beitrag von **KBDCALLS** » 27.12.2006 18:26:51

Als root

Code: Alles auswählen

lsof -i:137,138,139,445

feststellen was da löuft

za0 · Beitrag von **za0** » 27.12.2006 18:29:21

herrchen hat geschrieben:
za0 hat geschrieben:Ich habe eben nachgeguckt und festgestellt, dass da kein SMB installiert is.
vielleicht solltest du, direkt auf dem rechner, einmal mit "netstat -plaunt" und "ps aux" nachsehen, was dort wirklich läuft.

herrchen

also netstat sagt nix (ausser meine ssh-session).

mit ps habe ich schon nachgeguckt ... aber nochmal ...

Vielleicht bin ich auch blind, aber da gibts nix verdächtiges:

Code: Alles auswählen

ps aux
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  1592  520 ?        Ss   00:39   0:01 init [2]
root         2  0.0  0.0     0    0 ?        S    00:39   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SN   00:39   0:00 [ksoftirqd/0]
root         4  0.0  0.0     0    0 ?        S    00:39   0:00 [watchdog/0]
root         5  0.0  0.0     0    0 ?        S    00:39   0:00 [migration/1]
root         6  0.0  0.0     0    0 ?        SN   00:39   0:00 [ksoftirqd/1]
root         7  0.0  0.0     0    0 ?        S    00:39   0:00 [watchdog/1]
root         8  0.0  0.0     0    0 ?        S<   00:39   0:00 [events/0]
root         9  0.0  0.0     0    0 ?        S<   00:39   0:00 [events/1]
root        10  0.0  0.0     0    0 ?        S<   00:39   0:00 [khelper]
root        11  0.0  0.0     0    0 ?        S<   00:39   0:00 [kthread]
root        85  0.0  0.0     0    0 ?        S<   00:39   0:00 [kblockd/0]
root        86  0.0  0.0     0    0 ?        S<   00:39   0:00 [kblockd/1]
root        87  0.0  0.0     0    0 ?        S<   00:39   0:00 [kacpid]
root       196  0.0  0.0     0    0 ?        S<   00:39   0:00 [ata/0]
root       197  0.0  0.0     0    0 ?        S<   00:39   0:00 [ata/1]
root       198  0.0  0.0     0    0 ?        S<   00:39   0:00 [ata_aux]
root       199  0.0  0.0     0    0 ?        S<   00:39   0:00 [kseriod]
root       225  0.0  0.0     0    0 ?        S    00:39   0:00 [pdflush]
root       226  0.0  0.0     0    0 ?        S    00:39   0:00 [pdflush]
root       227  0.0  0.0     0    0 ?        S<   00:39   0:00 [kswapd0]
root       228  0.0  0.0     0    0 ?        S<   00:39   0:00 [aio/0]
root       229  0.0  0.0     0    0 ?        S<   00:39   0:00 [aio/1]
root       230  0.0  0.0     0    0 ?        S<   00:39   0:00 [cifsoplockd]
root       231  0.0  0.0     0    0 ?        S<   00:39   0:00 [cifsdnotifyd]
root       233  0.0  0.0     0    0 ?        S<   00:39   0:00 [jfsIO]
root       234  0.0  0.0     0    0 ?        S<   00:39   0:00 [jfsCommit]
root       235  0.0  0.0     0    0 ?        S<   00:39   0:00 [jfsCommit]
root       236  0.0  0.0     0    0 ?        S<   00:39   0:00 [jfsSync]
root       237  0.0  0.0     0    0 ?        S<   00:39   0:00 [xfslogd/0]
root       238  0.0  0.0     0    0 ?        S<   00:39   0:00 [xfslogd/1]
root       239  0.0  0.0     0    0 ?        S<   00:39   0:00 [xfsdatad/0]
root       240  0.0  0.0     0    0 ?        S<   00:39   0:00 [xfsdatad/1]
root       914  0.0  0.0     0    0 ?        S<   00:39   0:00 [scsi_eh_0]
root       915  0.0  0.0     0    0 ?        S<   00:39   0:00 [scsi_eh_1]
root       932  0.0  0.0     0    0 ?        S<   00:39   0:00 [scsi_eh_2]
root       933  0.0  0.0     0    0 ?        S<   00:39   0:00 [scsi_eh_3]
root       941  0.0  0.0     0    0 ?        S<   00:39   0:00 [kpsmoused]
root       946  0.0  0.0     0    0 ?        S<   00:39   0:00 [kcryptd/0]
root       947  0.0  0.0     0    0 ?        S<   00:39   0:00 [kcryptd/1]
root       953  0.0  0.0     0    0 ?        S    00:39   0:00 [kirqd]
root       959  0.3  0.0     0    0 ?        S<   00:39   0:21 [md1_raid1]
root       964  0.0  0.0     0    0 ?        S<   00:39   0:00 [md0_raid1]
root       968  0.0  0.0     0    0 ?        S<   00:39   0:00 [kjournald]
root      2291  0.0  0.0  1720  660 ?        Ss   00:39   0:00 /sbin/syslogd
root      2294  0.0  0.0  2760 1644 ?        Ss   00:39   0:00 /sbin/klogd
root      2314  0.0  0.0  1588  508 ?        Ss   00:39   0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      2351  0.0  0.0  1584  344 ?        Ss   00:39   0:00 /usr/sbin/inetd
daemon    2364  0.0  0.0  1772  368 ?        Ss   00:39   0:00 /usr/sbin/atd
root      2367  0.0  0.0  1824  644 ?        Ss   00:39   0:00 /usr/sbin/cron
root      2383  0.0  0.0  1584  480 tty1     Ss+  00:39   0:00 /sbin/getty 38400 tty1
root      2386  0.0  0.0  1588  488 tty2     Ss+  00:39   0:00 /sbin/getty 38400 tty2
root      2387  0.0  0.0  1588  484 tty3     Ss+  00:39   0:00 /sbin/getty 38400 tty3
root      2388  0.0  0.0  1584  484 tty4     Ss+  00:39   0:00 /sbin/getty 38400 tty4
root      2389  0.0  0.0  1588  488 tty5     Ss+  00:39   0:00 /sbin/getty 38400 tty5
root      2390  0.0  0.0  1584  484 tty6     Ss+  00:39   0:00 /sbin/getty 38400 tty6
root      2635  0.0  0.0  3548  932 ?        Ss   01:24   0:00 /usr/sbin/sshd
root      2678  0.0  0.0 14520 1764 ?        Ss   02:27   0:00 sshd: m [priv]
m         2681  0.0  0.0 14520 1388 ?        S    02:27   0:00 sshd: m@pts/0
m         2682  0.0  0.0  3052 1628 pts/0    Ss   02:27   0:00 -bash
root      2688  0.0  0.0  3048 1596 pts/0    S    02:27   0:00 bash
root      2690  0.0  0.0  2568  848 pts/0    R+   02:28   0:00 ps aux

Da is doch nix ...

za0 · Beitrag von **za0** » 27.12.2006 18:35:32

KBDCALLS hat geschrieben:Als root
Code: Alles auswählen
lsof -i:137,138,139,445
feststellen was da löuft

Hi ich habe kein lsof drauf..

EDIT: ok is drauf, aber lsof sagt auch nix. WTF?

daFreak · Beitrag von **daFreak** » 27.12.2006 18:37:09

Code: Alles auswählen

aptitude search lsof

za0 · Beitrag von **za0** » 27.12.2006 18:38:21

daFreak hat geschrieben:
Code: Alles auswählen
aptitude search lsof

Hi daFreak,

ja, kenn' ich wohl! Danke trotzdem!

nepos · Beitrag von **nepos** » 27.12.2006 18:39:35

Filtered kann auch heißen, dass da schlicht und einfach ein Paketfilter wie iptables seine Finger im Spiel hatte. Wenn nmap da filtered sagt, muss es nicht heißen, dass da auch ein Dienst läuft.

za0 · Beitrag von **za0** » 27.12.2006 18:46:19

nepos hat geschrieben:Filtered kann auch heißen, dass da schlicht und einfach ein Paketfilter wie iptables seine Finger im Spiel hatte. Wenn nmap da filtered sagt, muss es nicht heißen, dass da auch ein Dienst läuft.

Stimmt auch wieder.

ekle · Beitrag von **ekle** » 28.12.2006 12:36:29

vielleicht hilft dir das:

ich hab mir mal en kleines bash script gebastelt, des mir zu jedem offenen Port die Anwendung zeigt, die ihn aufgemacht hat:

Code: Alles auswählen

#!/bin/bash
HOST="localhost"
data=`nmap $HOST -p 0-65535 | grep tcp | cut -d "/" -f1`
for port in $data ; do
  echo "-----------------------------------------------------"
  echo Port: $port
  for id in `fuser -n tcp $port 2>&1 | cut -d ":" -f2` ; do
    ps axc | grep " $id " | grep -v "grep $id"
  done
done
echo "-----------------------------------------------------"

die Ausgabe sieht dann ungefähr so aus:

-----------------------------------------------------
Port: 21
3612 ? Ss 0:00 proftpd
-----------------------------------------------------
Port: 22
902 ? Ss 0:00 sshd
3476 ? Ss 0:00 sshd
-----------------------------------------------------
...

za0 · Beitrag von **za0** » 28.12.2006 12:56:09

ekle hat geschrieben:vielleicht hilft dir das:

ich hab mir mal en kleines bash script gebastelt, des mir zu jedem offenen Port die Anwendung zeigt, die ihn aufgemacht hat:
Code: Alles auswählen
#!/bin/bash
HOST="localhost"
data=`nmap $HOST -p 0-65535 | grep tcp | cut -d "/" -f1`
for port in $data ; do
  echo "-----------------------------------------------------"
  echo Port: $port
  for id in `fuser -n tcp $port 2>&1 | cut -d ":" -f2` ; do
    ps axc | grep " $id " | grep -v "grep $id"
  done
done
echo "-----------------------------------------------------"
die Ausgabe sieht dann ungefähr so aus:
-----------------------------------------------------
Port: 21
3612 ? Ss 0:00 proftpd
-----------------------------------------------------
Port: 22
902 ? Ss 0:00 sshd
3476 ? Ss 0:00 sshd
-----------------------------------------------------
...

Hi ekle,

danke

. Ich werde es mit sicherheit zum regelässigen überprüfen gebrauchen

. *einbau in cron*

*freu*

ekle · Beitrag von **ekle** » 28.12.2006 13:55:48

@za0:
eventuell solltest du noch das localhost in meim script durch die ip ersetzen die du prüfen willst, weil es läuft ja nicht alles zwangsläufig auf 127.0.0.1

und meistens ist ja das was nach ausen offen ist das wirklich interessante

Pawel · Beitrag von **Pawel** » 28.12.2006 14:02:41

Kleine Frage: was ist der Unterschied von dem Skript gegenüber folgendem?

Code: Alles auswählen

netstat -tulpn

za0 · Beitrag von **za0** » 28.12.2006 14:14:24

Pawel hat geschrieben:Kleine Frage: was ist der Unterschied von dem Skript gegenüber folgendem?
Code: Alles auswählen
netstat -tulpn

das script ist umständlicher

neine ohne flax, ich finde das script auch ok, nur dass der scan immer lange dauert.

ABER: man kann das script dazu verwenden um von aussen abzuchecken, wie die firewall läuft usw ....

netstat -tulpn sagt ja nur, was "drinnen" abgeht

gms · Beitrag von **gms** » 28.12.2006 14:22:22

za0 hat geschrieben: ABER: man kann das script dazu verwenden um von aussen abzuchecken, wie die firewall läuft usw ....

dafür genügt aber ein "nmap $HOST", die Kommandos "fuser" und "ps" die in diesem Script verwendet werden, werden von außen kein vernünftiges Ergebnis liefern

Gruß
gms

Pawel · Beitrag von **Pawel** » 28.12.2006 14:25:17

@gms: Jep

@all: Außerdem zeigt das Skript nur Ports an, die TCP verstehen. UDP vernächlassigt es sträflich.

za0 · Beitrag von **za0** » 28.12.2006 21:06:47

gms hat geschrieben:
za0 hat geschrieben: ABER: man kann das script dazu verwenden um von aussen abzuchecken, wie die firewall läuft usw ....
dafür genügt aber ein "nmap $HOST", die Kommandos "fuser" und "ps" die in diesem Script verwendet werden, werden von außen kein vernünftiges Ergebnis liefern

Gruß
gms

toll. ich wollte seine mühe nur etwas schätzen ....

gms · Beitrag von **gms** » 28.12.2006 21:27:55

za0 hat geschrieben:toll. ich wollte seine mühe nur etwas schätzen ....

Die Ausgabe schaut cooler aus

za0 · Beitrag von **za0** » 29.12.2006 08:16:22

Naja, jedenfalls (falls ich das noch nicht erwähnt habe) hat der zuständige Mensch gesagt,
das läge an NMAP, da die keine Firewall in dem Netz da installiert habe und bla ....

Es laufen keine verdächtigen Prozesse.

IPTables werde ich gleich nochmal überprüfen. Vielleicht sind die so toll vorkonfiguriert worden ...

debianforum.de

Unbekannte Einträge bei nmap

Unbekannte Einträge bei nmap

Re: Was'n das?

Re: Was'n das?