nixp.ru v3.0

21 января 2017,
суббота,
16:15:29 MSK

DevOps с компанией «Флант»
grisha написал 18 февраля 2008 года в 14:16 (646 просмотров) Ведет себя как мужчина; открыл 34 темы в форуме, оставил 202 комментария на сайте.

У меня firestarter. Решил просканировать себя nmap. Все закрыто, но при udp cканировании nmap выдает — (38072/udp open unknown). Через промежуток времени порт меняется например на 33882. Неизвестна служба кот. его открывает и почему он постоянно меняется? И вобще я подозритетельный тип. Успокойте пожалуйста.

fly4life

Смотри, что слушает интересующий порт, в выводе команды:

netstat -atupn

grisha

netstat -atupn выдает tcp протоколы и ни одного udp в то время как nmap опять показывает например вот это 50982/udp open unknown.

metal

Если netstap -aupn пустой, то пора искать руткиты. Какой дистрибутив? И вообще всю растановку, что за машина, нет ли чего подозрительного в логах? Есть ли возможность выключать ее? Можно ли сравнить скажем утилитку netstat с дистрибутивной? и т.д.

rgo

влезь в ядро, и в функцию sys_socket, и напиши там, что-нибудь в стиле:

printk (KERN_DEBUG "pid=%u tries to create socket\n", (unsigned)current->pid);

;)

grisha

netstat -aupn пустой. Машина обычная домашняя, сети нет, dsl-интернет, ubuntu 2.6.22-14-generic, включается и выключается, netstat — дистрибутивная. В логи посмотрю.

Что значит влезь в ядро? Это что без компиляции можно просто код в консоли выполнить? Хотелось бы услышать что этот код означает, а то насоветуешь…

Longobard

В переводе на русский этот код означает:

печать (ЕДРО_ОТЛАДКА "під =% у пытается создать сокет \ n", (неподписанные) текущие-> під);
grisha

printk (KERN_DEBUG «pid=%u tries to create socket\n», (unsigned)current->pid);

bash: ошибка синтаксиса около неожиданной лексемы `KERN_DEBUG'

Longobard

это код на си

grisha

А что же с портом может быть?

myst

Слышь, а тебе не приходило в голову, что nmap, для того чтобы сканить, тоже создаёт сокет?

grisha

И что он может сам себя сканировать? Значит все таки паранойя. Т.е. если ты тоже просканируешь себя по udp у тебя тоже самое будет?

Longobard
myst
Слышь, а тебе не приходило в голову, что nmap, для того чтобы сканить, тоже создаёт сокет?

Да? И listen вызывает? :)

myst

Ну хез, проверит пусть.

rgo
myst
Слышь, а тебе не приходило в голову, что nmap, для того чтобы сканить, тоже создаёт сокет?

Мысль не приходила. Но я не поленился просканил себя, ничего такого не наблюдается.

grisha

ты как nmap запускал? С опцией -sU и без всяких дополнительностей?

grisha

Nmap запускался так — nmap -sU -O -p- -PI -PT мой сетевой адрес

grisha

Выше это c графической оболочкой. А вот что в консоли получается -

Starting Nmap 4.20 ( http://insecure.org ) at 2008-02-19 18:48 VLAT

Interesting ports

Not shown: 65534 closed ports

PORT STATE SERVICE

39448/udp open unknown

Nmap finished: 1 IP address (1 host up) scanned in 5.033 seconds

grisha

Забыл. В консоли писал просто -sU

fly4life
grisha
Выше это c графической оболочкой. А вот что в консоли получается -

Starting Nmap 4.20 ( http://insecure.org ) at 2008-02-19 18:48 VLAT

Interesting ports

Not shown: 65534 closed ports

PORT      STATE SERVICE

39448/udp open  unknown

Nmap finished: 1 IP address (1 host up) scanned in 5.033 seconds

А если перед сканированием аську выключить?

grisha

А никакой аськи-то и нет совсем.

fly4life
grisha
А никакой аськи-то и нет совсем.

А это моя телепатия облажалась =).

Всё-таки я бы взглянул на вывод 'netstat -atupn’.

grisha

вот что есть pstree

init─┬─NetworkManager

├─NetworkManagerD

├─acpid

├─bonobo-activati───{bonobo-activati}

├─clamd

├─console-kit-dae───61*[{console-kit-dae}]

├─cron

├─cupsd

├─2*[dbus-daemon]

├─dd

├─deskbar-applet───2*[{deskbar-applet}]

├─dhcdbd

├─evolution-alarm───2*[{evolution-alarm}]

├─evolution-data-───2*[{evolution-data-}]

├─firefox───run-mozilla.sh───firefox-bin───6*[{firefox-bin}]

├─gconfd-2

├─gdm───gdm─┬─Xorg

│ └─x-session-manag─┬─compiz─┬─compiz.real

│ │ └─gtk-window-deco

│ ├─gnome-panel

│ ├─nautilus

│ ├─nm-applet

│ ├─python

│ ├─ssh-agent

│ ├─trackerd───2*[{trackerd}]

│ ├─vino-session

│ └─{x-session-manag}

├─6*[getty]

├─gnome-keyring-d

├─gnome-power-man

├─gnome-screensav

├─gnome-settings-───{gnome-settings-}

├─gnome-terminal─┬─bash───pstree

│ ├─gnome-pty-helpe

│ └─{gnome-terminal}

├─gnome-vfs-daemo

├─gnome-volume-ma

├─gpg-agent

├─hald───hald-runner─┬─hald-addon-acpi

│ ├─3*[hald-addon-keyb]

│ └─2*[hald-addon-stor]

├─hcid───2*[bluetoothd-serv]

├─klogd

├─mapping-daemon

├─mixer_applet2───{mixer_applet2}

├─3*[mount.ntfs]

├─syslogd

├─system-tools-ba───dbus-daemon

├─trashapplet

└─udevd

grisha

да что там netstat. Я все повыключал кроме принтера который привязан локально. Вот

sudo netstat -autpn

Активные соединения с интернетом (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 5346/cupsd

metal

Все нормально у тебя cupsd поднят — это сервис для принтера и висит он на локальном интерфейсе.

grisha

Это что за херня?

Открыл системный журнал, смотрю auth.log и в это время в нем добавляются такие новые записи

Feb 19 23:00:01 boo CRON[7990]: pam_unix(cron:session): session closed for user root

Feb 19 23:05:01 boo CRON[7998]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb 19 23:05:01 boo CRON[7998]: pam_unix(cron:session): session closed for user root

Feb 19 23:10:01 boo CRON[8009]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb 19 23:10:01 boo CRON[8009]: pam_unix(cron:session): session closed for user root

Feb 19 23:15:01 boo CRON[8032]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb 19 23:15:01 boo CRON[8032]: pam_unix(cron:session): session closed for user root

Feb 19 23:17:01 boo CRON[8038]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb 19 23:17:02 boo CRON[8038]: pam_unix(cron:session): session closed for user root

Это что у меня cron автоматически открывает и закрывает сессию для roota? (блин, волнуюсь, непонятно)

grisha

по-прежднему непонятно с открытым портом, кот. постоянно меняет свое значение

metal

Лог cron посмотри и его конфиг не помешает.

grisha

Тогда такой вопрос. Может убрать лентяйский firestarter и настроить iptables вручную, чтоб наверняка? :-)

Anarchist
grisha
Тогда такой вопрос. Может убрать лентяйский firestarter и настроить iptables вручную, чтоб наверняка? :-)

Ну или для начала хотя бы почитать поток сознания firestarter’а.

grisha

[quote поток сознания firestarter'а. [/quote]

Если ты про справку, то я читал и там все очень просто, но возможностей для настроек мало. Предполагается, если все сделать по умолчанию, то можно не париться, никто и ничто не пролезет.

grisha

еще бы научиться форумом пользоваться 8-) эх…

metal
grisha
Если ты про справку, то я читал и там все очень просто, но возможностей для настроек мало. Предполагается, если все сделать по умолчанию, то можно не париться, никто и ничто не пролезет.

Ну тогда и не парься:) Что у тебя делает iptables на данный момент совсем не лишнее глянуть.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.