Liebe Leute, nach mehreren nachweislichen Einbruchversuchen übers Netz bin ich paranoid geworden. Ein nmap-Scan gegen den Firewallrechner liefert etwas, was ich nicht ganz verstehe, vielleicht kann mir jemand helfen: _________________________________________________________ Host (xx.x.xxx.xx) appears to be up ... good. Initiating SYN Stealth Scan against (xx.xx.xx.xxx) Adding open port 22/tcp adjust_timeout: packet supposedly had rtt of 10311703 microseconds. Ignoring time. The SYN Stealth Scan took 426 seconds to scan 1601 ports. For OSScan assuming that port 22 is open and port 113 is closed and neither are firewalled [snip] Und dann: (The 1599 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 113/tcp closed auth _________________________________________________________ Auf dem Rechner laufen folgende Prozesse: PID TTY STAT TIME COMMAND 1 ? S 0:07 init 2 ? SW 0:00 [keventd] 3 ? SWN 0:00 [ksoftirqd_CPU0] 4 ? SW 0:00 [kswapd] 5 ? SW 0:00 [bdflush] 6 ? SW 0:00 [kupdated] 7 ? SW 0:00 [kinoded] 9 ? SW 0:00 [mdrecoveryd] 13 ? SW 0:00 [kjournald] 53 ? SW< 0:00 [lvm-mpd] 91 ? SW 0:00 [kjournald] 137 ? S 0:37 /sbin/syslogd 140 ? S 0:09 /sbin/klogd -c 1 -2 233 ? S 0:00 /usr/sbin/cron 391 ? SW 0:00 [eth0] 440 ? SW 0:00 [eth1] 1018 ? S 0:01 /usr/sbin/sshd 1377 ? S 0:00 /usr/sbin/squid -sYD 1498 tty1 S 0:00 /sbin/mingetty --noclear tty1 1499 tty2 S 0:00 /sbin/mingetty tty2 1500 tty3 S 0:00 /sbin/mingetty tty3 12674 ? S 0:00 /usr/sbin/sshd 12693 pts/1 S 0:00 su root 12694 pts/1 S 0:00 bash 12740 pts/1 R 0:00 ps x "Wer" fummelt da am Port 113 ( 113/ident resp. 113/auth)? Eigentlich dürfte doch nur Port 22 für ssh offen sein. Grüsse Michael
*** Michael Karges
nach mehreren nachweislichen Einbruchversuchen übers Netz bin ich paranoid geworden. Ein nmap-Scan gegen den Firewallrechner liefert etwas, was ich nicht ganz verstehe, vielleicht kann mir jemand helfen:
einbruchsversuche in welcher form?
113/tcp closed auth ^^^^^^ "Wer" fummelt da am Port 113 ( 113/ident resp. 113/auth)? Eigentlich dürfte doch nur Port 22 für ssh offen sein.
113 _ist_ bei dir _closed_. micha
Am Fre, 2003-10-24 um 19.47 schrieb Michael Karges: [...]
Ein nmap-Scan gegen den Firewallrechner liefert etwas, was ich nicht ganz verstehe, vielleicht kann mir jemand helfen:
[...]
(The 1599 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 113/tcp closed auth
[...]
"Wer" fummelt da am Port 113 ( 113/ident resp. 113/auth)? Eigentlich dürfte doch nur Port 22 für ssh offen sein.
Deswegen ist 113 ja auch "closed" und nicht "open" :) Was verwendest Du für eine Firewall? Port 113 sollte man immer rejecten (sieht also "closed" aus) und niemals droppen. Könnte also auch an einem sauber geschriebenen firewall script liegen und wäre kein Fehler. Warum das so ist, verrät Dir Google ;) -- Matthias Hentges Cologne / Germany [www.hentges.net] -> PGP welcome, HTML tolerated ICQ: 97 26 97 4 -> No files, no URL's My OS: Debian Woody. Geek by Nature, Linux by Choice
Am Freitag, 24. Oktober 2003 20:06 schrieb Matthias Hentges:
Am Fre, 2003-10-24 um 19.47 schrieb Michael Karges:
[...]
Ein nmap-Scan gegen den Firewallrechner liefert etwas, was ich nicht ganz verstehe, vielleicht kann mir jemand helfen:
[...]
(The 1599 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 113/tcp closed auth
[...]
"Wer" fummelt da am Port 113 ( 113/ident resp. 113/auth)? Eigentlich dürfte doch nur Port 22 für ssh offen sein.
Deswegen ist 113 ja auch "closed" und nicht "open" :)
Jaja, is mir alles klar.
Was verwendest Du für eine Firewall? Port 113 sollte man immer rejecten (sieht also "closed" aus) und niemals droppen. Könnte also auch an einem sauber geschriebenen firewall script liegen und wäre kein Fehler.
Mhhm, die Suse Firewall. Was ich nicht verstehe: warum listet nmap gerade diese Port wenn es doch "closed" ist und nicht alle anderen? Ich hatte das Port auch schon mal "half-open" angetroffen.
Warum das so ist, verrät Dir Google ;) --
Matthias Hentges Cologne / Germany
Gruss Michael
Am Fre, 2003-10-24 um 20.25 schrieb Michael Karges:
Am Freitag, 24. Oktober 2003 20:06 schrieb Matthias Hentges:
Am Fre, 2003-10-24 um 19.47 schrieb Michael Karges:
[...]
Was verwendest Du für eine Firewall? Port 113 sollte man immer rejecten (sieht also "closed" aus) und niemals droppen. Könnte also auch an einem sauber geschriebenen firewall script liegen und wäre kein Fehler.
Mhhm, die Suse Firewall. Was ich nicht verstehe: warum listet nmap gerade diese Port wenn es doch "closed" ist und nicht alle anderen?
Weil alle anderen gedropt werden.......... Wird der Port von der Firewall gedropt nennt nmap ihn "filtered", wird er rejected (wie bei 113) nennt nmap ihn closed (eben weil er rejected wird und nicht gedropt) ob da nun was läuft auf dem Port oder nicht. Das "closed" wird von der Firewall verursacht und nicht von einem Dienst auf dem Rechner. -- Matthias Hentges Cologne / Germany [www.hentges.net] -> PGP welcome, HTML tolerated ICQ: 97 26 97 4 -> No files, no URL's My OS: Debian Woody. Geek by Nature, Linux by Choice
Am Freitag, 24. Oktober 2003 21:13 schrieb Matthias Hentges: [snip]
Wird der Port von der Firewall gedropt nennt nmap ihn "filtered", wird er rejected (wie bei 113) nennt nmap ihn closed (eben weil er rejected wird und nicht gedropt) ob da nun was läuft auf dem Port oder nicht. Das "closed" wird von der Firewall verursacht und nicht von einem Dienst auf dem Rechner.
Kann nicht ganz stimmen: # cat /var/log/messages | grep DPT=113 liefert unter anderem: Oct 24 20:13:34 (none) kernel: SuSE-FW-DROP-DEFAULT IN=eth1 OUT= MAC=xx DST=xx.xx.xx.xx LEN=328 TOS=0x00 PREC=0x00 TTL=48 ID=31557 PROTO=UDP SPT=44104 DPT=113 LEN=308 D.h., die Firewall "dropped" das Paket, genau das gleiche tut sie aber mit Port 110 beispielsweise, und dieses bezeichnet nmap als "filtered": "Interesting ports on (81.5.192.18): (The 1599 ports scanned but not shown below are in state: filtered)" Auch meint nmap: "For OSScan assuming that port 22 is open and port 113 is closed and neither are firewalled" -> wird also auch von nmap als niht von einer Firewall gefiltert angenommen.
--
Matthias Hentges Cologne / Germany
Gruss Michael
Michael Karges wrote:
Am Freitag, 24. Oktober 2003 21:13 schrieb Matthias Hentges:
[snip]
Wird der Port von der Firewall gedropt nennt nmap ihn "filtered", wird er rejected (wie bei 113) nennt nmap ihn closed (eben weil er rejected wird und nicht gedropt) ob da nun was läuft auf dem Port oder nicht. Das "closed" wird von der Firewall verursacht und nicht von einem Dienst auf dem Rechner.
Kann nicht ganz stimmen: # cat /var/log/messages | grep DPT=113
liefert unter anderem:
Oct 24 20:13:34 (none) kernel: SuSE-FW-DROP-DEFAULT IN=eth1 OUT= MAC=xx DST=xx.xx.xx.xx LEN=328 TOS=0x00 PREC=0x00 TTL=48 ID=31557 PROTO=UDP SPT=44104 DPT=113 LEN=308
D.h., die Firewall "dropped" das Paket, genau das gleiche tut sie aber mit Port 110 beispielsweise, und dieses bezeichnet nmap als "filtered":
"Interesting ports on (81.5.192.18): (The 1599 ports scanned but not shown below are in state: filtered)"
Auch meint nmap: "For OSScan assuming that port 22 is open and port 113 is closed and neither are firewalled" -> wird also auch von nmap als niht von einer Firewall gefiltert angenommen.
Für 113/tcp ist in der Suse-FW expliziet ein REJECT eingebaut, auch wenn die Policy default auf Drop gesetzt wurde. Das "port 113 is closed and neither are firewalled" bezieht sich möglicherweise auf den tcp-scan seitens nmap. Im obigen Log-Auszug greift aber DROP, weil udp. Die anderen Ports werden als filtered bezeichnet, eben weil sie nur gedropped werden. Such mal in diese Richtung. Ich habe keine Lust, mich durch das SuSE-Geraffel durchzuquälen. :-b Auszug aus /sbin/SuSEfirewall2: # If port 113 (auth/identd) was not allowed above, outgoing mail # would # be delayed most of the time. Hence we put a hardcoded reject line # in. for CHAIN in input_ext input_dmz input_int; do $LDA $IPTABLES -A $CHAIN -j LOG ${LOG}"-REJECT " -p tcp --dport 113 --syn $IPTABLES -A $CHAIN -j "$REJECT" -p tcp --dport 113 --syn 2> /dev/null MfG Benn
Matthias Hentges wrote:
Am Fre, 2003-10-24 um 20.25 schrieb Michael Karges:
Am Freitag, 24. Oktober 2003 20:06 schrieb Matthias Hentges:
Am Fre, 2003-10-24 um 19.47 schrieb Michael Karges:
[...]
Was verwendest Du für eine Firewall? Port 113 sollte man immer rejecten (sieht also "closed" aus) und niemals droppen. Könnte also auch an einem sauber geschriebenen firewall script liegen und wäre kein Fehler.
Mhhm, die Suse Firewall. Was ich nicht verstehe: warum listet nmap gerade diese Port wenn es doch "closed" ist und nicht alle anderen?
Weil alle anderen gedropt werden..........
Wird der Port von der Firewall gedropt nennt nmap ihn "filtered", wird er rejected (wie bei 113) nennt nmap ihn closed (eben weil er rejected wird und nicht gedropt) ob da nun was läuft auf dem Port oder nicht. Das "closed" wird von der Firewall verursacht und nicht von einem Dienst auf dem Rechner.
siehe http://www.sysiphus.de/daulex/t_auth.html -- gruss thomas
* Michael Karges
113/tcp closed auth _________________________________________________________
"Wer" fummelt da am Port 113 ( 113/ident resp. 113/auth)? Eigentlich dürfte doch nur Port 22 für ssh offen sein.
113 ist zu. ;) Der Port wird beispielsweise vom identd genutzt. Gruss, Andreas -- [andreas] > du -hs mutt-manual 328k mutt-manual *WOW!* [andreas] > du -hs gnus-manual 1.9M gnus-manual *GASP!*
Am Freitag, 24. Oktober 2003 20:19 schrieb Andreas Kneib:
* Michael Karges
: 113/tcp closed auth _________________________________________________________
"Wer" fummelt da am Port 113 ( 113/ident resp. 113/auth)? Eigentlich dürfte doch nur Port 22 für ssh offen sein.
113 ist zu. ;) Der Port wird beispielsweise vom identd genutzt.
identd, inetd, xinetd,....NIX läuft auf dem Rechner.
Gruss, Andreas
Gruss Michael
participants (6)
-
Andreas Kneib
-
Bernd Schmelter
-
Matthias Hentges
-
Michael Karges
-
Michael Meyer
-
Thomas Fankhauser