1 unbekannter Port offen
nmap zeigt mir 40822 an
ein netstat gibt folgendes aus
root@xxx/etc/xinetd.d/> netstat -ap|grep 40822
tcp 0 0 *:40822 *:*
LISTEN -
Was hängt dahinter?
Das läuft alles noch auf dem System
root@srvxx/etc/init.d/> ps ax
PID TTY STAT TIME COMMAND
1 ? Ss 0:23 init [3]
2 ? S< 0:00 [kthreadd]
3 ? S< 0:00 [migration/0]
4 ? S< 5:40 [ksoftirqd/0]
5 ? S< 2:56 [events/0]
6 ? S< 0:00 [khelper]
7 ? S< 5:14 [kblockd/0]
8 ? S< 0:00 [cqueue]
9 ? S< 0:00 [kseriod]
10 ? S< 0:00 [kondemand/0]
13 ? S< 92:23 [kswapd0]
14 ? S< 0:00 [aio/0]
16 ? S< 0:00 [kpsmoused]
54 ? S< 0:00 [ata/0]
55 ? S< 0:00 [ata_aux]
61 ? S< 0:00 [scsi_eh_0]
62 ? S< 0:00 [scsi_eh_1]
65 ? S< 0:00 [scsi_eh_2]
155 ? S< 0:00 [ksuspend_usbd]
160 ? S< 0:00 [khubd]
395 ? S< 2:49 [kjournald]
757 ? Ss 0:27 /usr/lib/postfix/master
773 ? S 0:16 qmgr -l -t fifo -u
827 ? S< 0:00 [kauditd]
835 ? Ss 0:21 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
848 ? S< 0:00 [kstriped]
894 ? S< 13:56 [kjournald]
1064 ? Ss 0:06 /usr/sbin/cron
1221 ? Ss 0:41 /bin/dbus-daemon --system
1249 ? Ssl 0:08 /usr/sbin/console-kit-daemon
1358 ? Ss 0:13 /usr/sbin/hald --daemon=yes
1359 ? S 0:00 hald-runner
1378 ? S 0:06 hald-addon-storage: no polling on /dev/fd0
because it is explicitly disabled
1755 ? S< 0:00 /sbin/udevd --daemon
1832 ? S< 888:40 [rpciod/0]
1850 ? S 0:00 [lockd]
1875 ? Ss 0:48 /sbin/syslog-ng
1878 ? Ss 0:00 /sbin/klogd -c 1 -x
2291 ? Ss 103:06 /usr/sbin/vmware-serverd -s -d
2359 tty1 Ss+ 0:00 /sbin/mingetty --noclear tty1
2360 tty2 Ss+ 0:00 /sbin/mingetty tty2
2361 tty3 Ss+ 0:00 /sbin/mingetty tty3
2363 tty4 Ss+ 0:00 /sbin/mingetty tty4
2364 tty5 Ss+ 0:00 /sbin/mingetty tty5
2365 tty6 Ss+ 0:00 /sbin/mingetty tty6
13424 ? S< 0:00 /sbin/udevd --daemon
21094 ? Ss 0:00 sshd: root@pts/0
21098 pts/0 Ss+ 0:00 -bash
22352 ? Ss 0:00 sshd: root@pts/1
22355 pts/1 Ss 0:00 -bash
22758 ? S 0:00 pickup -l -t fifo -u
24161 ? S 0:00 cleanup -z -t unix -u
24162 ? S 0:00 trivial-rewrite -n rewrite -t unix -u
24163 ? S 0:00 local -t unix
24164 pts/1 R+ 0:00 ps ax
27904 ? S 1:52 [pdflush]
30871 ? S 0:08 [pdflush]
32622 ? S
danke für Tips
Ralf Prengel
Manager
Customer Care
Comline AG
Hauert 8
D-44227 Dortmund/Germany
Fon +49 231 97575 904
Fax +49 231 97575 257
Mobil +49 151 10831 157
EMail Ralf.Prengel@comline.de
www.comline.de
Vorstand Stephan Schilling, Erwin Leonhardi
Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 10. Februar 2010 16:49:13 schrieb prengel:
nmap zeigt mir 40822 an
ein netstat gibt folgendes aus
root@xxx/etc/xinetd.d/> netstat -ap|grep 40822 tcp 0 0 *:40822 *:* LISTEN -
(...) Versuch mal netstat -lnp Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 10.02.2010 17:21, schrieb Juergen Langowski:
Am Mittwoch, 10. Februar 2010 16:49:13 schrieb prengel:
nmap zeigt mir 40822 an
ein netstat gibt folgendes aus
root@xxx/etc/xinetd.d/> netstat -ap|grep 40822 tcp 0 0 *:40822 *:* LISTEN -
(...)
Versuch mal netstat -lnp
Jürgen
root@srvcc02~/> netstat -lnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 835/sshd tcp 0 0 0.0.0.0:40822 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 757/master tcp 0 0 :::22 :::* LISTEN 835/sshd tcp 0 0 ::1:25 :::* LISTEN 757/master udp 0 0 192.168.244.47:123 0.0.0.0:* 24466/ntpd udp 0 0 127.0.0.2:123 0.0.0.0:* 24466/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 24466/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 24466/ntpd udp 0 0 fe80::230:5ff:fe00::123 :::* 24466/ntpd udp 0 0 ::1:123 :::* 24466/ntpd udp 0 0 :::123 :::* 24466/ntpd Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 6957619 757/master public/cleanup unix 2 [ ACC ] STREAM LISTENING 6957626 757/master private/rewrite unix 2 [ ACC ] STREAM LISTENING 6957630 757/master private/bounce unix 2 [ ACC ] STREAM LISTENING 6957634 757/master private/defer unix 2 [ ACC ] STREAM LISTENING 3528 1358/hald @/var/run/hald/dbus-S4aMGSzdeW unix 2 [ ACC ] STREAM LISTENING 6957638 757/master private/trace unix 2 [ ACC ] STREAM LISTENING 6957642 757/master private/verify unix 2 [ ACC ] STREAM LISTENING 6957646 757/master public/flush unix 2 [ ACC ] STREAM LISTENING 6957650 757/master private/proxymap unix 2 [ ACC ] STREAM LISTENING 6957654 757/master private/smtp unix 2 [ ACC ] STREAM LISTENING 6957658 757/master private/relay unix 2 [ ACC ] STREAM LISTENING 6957662 757/master public/showq unix 2 [ ACC ] STREAM LISTENING 6957666 757/master private/error unix 2 [ ACC ] STREAM LISTENING 6957670 757/master private/discard unix 2 [ ACC ] STREAM LISTENING 6220 2291/vmware-serverd /var/run/vmware/root/2291/server-vcvmdb-fd unix 2 [ ACC ] STREAM LISTENING 6957674 757/master private/local unix 2 [ ACC ] STREAM LISTENING 6222 2291/vmware-serverd /var/run/vmware/root/2291/server-vmdb-fd unix 2 [ ACC ] STREAM LISTENING 6957678 757/master private/virtual unix 2 [ ACC ] STREAM LISTENING 6224 2291/vmware-serverd /var/run/vmware/root/2291/server-vmxvmdb-fd unix 2 [ ACC ] STREAM LISTENING 6957682 757/master private/lmtp unix 2 [ ACC ] STREAM LISTENING 6226 2291/vmware-serverd /var/run/vmware/root/2291/nfc-fd unix 2 [ ACC ] STREAM LISTENING 6957686 757/master private/anvil unix 2 [ ACC ] STREAM LISTENING 6228 2291/vmware-serverd /var/run/vmware/root/2291/fsserver-fd unix 2 [ ACC ] STREAM LISTENING 6957690 757/master private/scache unix 2 [ ACC ] STREAM LISTENING 6957694 757/master private/maildrop unix 2 [ ACC ] STREAM LISTENING 6957698 757/master private/cyrus unix 2 [ ACC ] STREAM LISTENING 6957702 757/master private/uucp unix 2 [ ACC ] STREAM LISTENING 6957706 757/master private/ifmail unix 2 [ ACC ] STREAM LISTENING 6957710 757/master private/bsmtp unix 2 [ ACC ] STREAM LISTENING 6957714 757/master private/procmail unix 2 [ ACC ] STREAM LISTENING 6957718 757/master private/retry unix 2 [ ACC ] STREAM LISTENING 6957722 757/master private/proxywrite unix 2 [ ACC ] STREAM LISTENING 3285 1221/dbus-daemon /var/run/dbus/system_bus_socket unix 2 [ ACC ] STREAM LISTENING 3525 1358/hald @/var/run/hald/dbus-7t3JlzIxQL root@srvcc02~/> Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 10. Februar 2010 17:37:42 schrieb prengel:
Am 10.02.2010 17:21, schrieb Juergen Langowski:
Am Mittwoch, 10. Februar 2010 16:49:13 schrieb prengel:
nmap zeigt mir 40822 an
ein netstat gibt folgendes aus
root@xxx/etc/xinetd.d/> netstat -ap|grep 40822 tcp 0 0 *:40822 *:* LISTEN -
(...)
Versuch mal netstat -lnp
Jürgen
root@srvcc02~/> netstat -lnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 835/sshd tcp 0 0 0.0.0.0:40822 0.0.0.0:* LISTEN -
(...) Autsch. Dazu fällt mir jetzt auch nicht mehr viel ein. Höchstens noch ein ganz übler Verdacht: Gibt es etwa irgendwo eine ausführbare Datei, die "-" heißt? Ein Hackerangriff könnte vielleicht so was hinterlassen. Aber wie es aussieht, muss ich hier wohl passen. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Juergen! On Mi, 10 Feb 2010, Juergen Langowski wrote:
Am Mittwoch, 10. Februar 2010 17:37:42 schrieb prengel:
Am 10.02.2010 17:21, schrieb Juergen Langowski:
Am Mittwoch, 10. Februar 2010 16:49:13 schrieb prengel:
nmap zeigt mir 40822 an
ein netstat gibt folgendes aus
root@xxx/etc/xinetd.d/> netstat -ap|grep 40822 tcp 0 0 *:40822 *:* LISTEN -
Was gibt lsof -i :40822 aus? Mit freundlichen Grüßen Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 10. Februar 2010 schrieb Juergen Langowski:
Am Mittwoch, 10. Februar 2010 17:37:42 schrieb prengel:
Am 10.02.2010 17:21, schrieb Juergen Langowski:
Am Mittwoch, 10. Februar 2010 16:49:13 schrieb prengel:
nmap zeigt mir 40822 an
ein netstat gibt folgendes aus
root@xxx/etc/xinetd.d/> netstat -ap|grep 40822 tcp 0 0 *:40822 *:* LISTEN -
(...)
Versuch mal netstat -lnp
Jürgen
root@srvcc02~/> netstat -lnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 835/sshd tcp 0 0 0.0.0.0:40822 0.0.0.0:* LISTEN -
(...)
Autsch. Dazu fällt mir jetzt auch nicht mehr viel ein. Höchstens noch ein ganz übler Verdacht: Gibt es etwa irgendwo eine ausführbare Datei, die "-" heißt? Ein Hackerangriff könnte vielleicht so was hinterlassen. Aber wie es aussieht, muss ich hier wohl passen.
Bange machen gilt nicht ;-) In der Zeile ist keine PID, von daher ist es eher unwahrscheinlich, daß dort ein Programm hinterhängt. Beispielsweise wird Port 2049 von nfs benutzt, und auch hier finden fuser oder netstat keinen zugehörigen Prozess. Höhere Portnummern werden auch gern für RPC benutzt (bei mir zum Bleistift derzeit 52250 und 44016), und auch die werden ohne PID angezeigt. Manchmal hilft es, per Telnet auf den Port zu gehen, und ein paar Zeichen/ Zeilen einzugeben ( Telnet beenden: CTRL-ALT GR-9 und dann "close" eingeben) Wenn die Ports z.B. für RPC benutzt werden, dann kannst Du das nachher im syslog finden: ... altair kernel: RPC: multiple fragments per record not supported ... altair kernel: klogd 1.4.1, ---------- state change ---------- -- - Alexandra Widerstand ist zwecklos! Sie werden assembliert...? Absorbiert? Abserviert? Verdammt ... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mit, 10 Feb 2010, Alexandra schrieb:
Zeilen einzugeben ( Telnet beenden: CTRL-ALT GR-9 und dann "close" eingeben)
Falsch. Das gilt nur bei deutscher Tastaturbelegung. Hier wäre es Strg
und die '+'-Taste (ohne Umschalt oder sonstwas). Kurz: über Strg+']'
bekommt man den 'telnet>' prompt.
-dnh
--
"Being disintegrated makes me ve-ry an-gry!"
Am Thursday 11 February 2010 02:01:52 schrieb David Haller:
Hallo,
Am Mit, 10 Feb 2010, Alexandra schrieb:
Zeilen einzugeben ( Telnet beenden: CTRL-ALT GR-9 und dann "close" eingeben)
Falsch. Das gilt nur bei deutscher Tastaturbelegung. Hier wäre es Strg und die '+'-Taste (ohne Umschalt oder sonstwas). Kurz: über Strg+']' bekommt man den 'telnet>' prompt.
Yoda haste Recht ;-) Gruß -- - Alexandra Widerstand ist zwecklos! Sie werden assembliert...? Absorbiert? Abserviert? Verdammt ... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 10.02.2010 21:59, schrieb Alexandra:
Autsch. Dazu fällt mir jetzt auch nicht mehr viel ein. Höchstens noch ein ganz übler Verdacht: Gibt es etwa irgendwo eine ausführbare Datei, die "-" heißt? Ein Hackerangriff könnte vielleicht so was hinterlassen. Aber wie es aussieht, muss ich hier wohl passen.
Bange machen gilt nicht ;-)
In der Zeile ist keine PID, von daher ist es eher unwahrscheinlich, daß dort ein Programm hinterhängt.
Mein Problem ist das wir das System automatisch per nmap auf offene Ports prüfen. Ports aus einer whitelist sind ok der Rest löst eine Meldung aus. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Ralf, On Wednesday 10 February 2010 16:49:13 prengel wrote:
ein netstat gibt folgendes aus
Und ein "netstat -tunap" (leicht zu merken, weil so sprechend)? Roman -- Roman Fietze Telemotive AG Büro Mühlhausen Breitwiesen 73347 Mühlhausen Tel.: +49(0)7335/18493-45 http://www.telemotive.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 11.02.2010 07:37, schrieb Roman Fietze:
Hallo Ralf,
On Wednesday 10 February 2010 16:49:13 prengel wrote:
ein netstat gibt folgendes aus
Und ein "netstat -tunap" (leicht zu merken, weil so sprechend)?
Roman
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 835/sshd tcp 0 0 0.0.0.0:40822 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 757/master tcp 0 148 192.168.244.47:22 192.168.245.197:1172 ESTABLISHED 18161/0 tcp 65 0 127.0.0.1:40822 127.0.0.1:46945 CLOSE_WAIT - tcp 29 0 192.168.244.47:40822 192.168.244.37:42225 CLOSE_WAIT - tcp 12 0 127.0.0.1:40822 127.0.0.1:42412 CLOSE_WAIT - tcp 0 0 192.168.244.47:1003 192.168.246.32:2049 ESTABLISHED - tcp 0 0 :::22 :::* LISTEN 835/sshd tcp 0 0 ::1:25 :::* LISTEN 757/master udp 0 0 192.168.244.47:123 0.0.0.0:* 18033/ntpd udp 0 0 127.0.0.2:123 0.0.0.0:* 18033/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 18033/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 18033/ntpd udp 0 0 fe80::230:5ff:fe00::123 :::* 18033/ntpd udp 0 0 ::1:123 :::* 18033/ntpd udp 0 0 :::123 :::* 18033/ntpd root@srvcc02~/> Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Alexandra -
Christian Brabandt -
David Haller -
Juergen Langowski -
prengel -
Roman Fietze