nmap на моєму веб-сервері показує TCP-порти 554 та 7070 відкриті

11

У мене є веб-сервер, який розміщує для мене різні веб-сайти. Дві послуги, які доступні зовні, - SSH та Apache2. Вони працюють на нестандартному та стандартному порту відповідно. Усі інші порти закриваються явно через брандмауер arno-iptables. Хост виконує тестування Debian.

Я помітив, що сканування хоста за допомогою nmap дало різні результати на різних ПК. З мого ноутбука в домашній мережі (за BT Homehub) я отримую наступне:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

беручи до уваги сканування з американського сервера з nmap 5.00 та вікном Linux у Норвегії під управлінням nmap 5.21, я отримую наступне:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

тож сподіваюся, що це моя внутрішня мережа чи Інтернет-провайдер, але я не можу бути впевнений.

Запуск netstat -l | grep 7070продукту нічого не дає. Аналогічно для порту 554.

Хтось може пояснити особливості, які я бачу?

security debian port

— Олексій
джерело

Чи є обидва результати сканувань, зроблених одночасно.

— pradeepchhetri

3

Ви випадково використовуєте крайню аеропорту Apple або капсулу Apple у своїй домашній мережі?

— факер

У мене є Buffalo NAS, який працює з сумісним DLNA сервісом, я вважаю.

— Олексій

Це трапляється і зі мною - я за капсулою Apple Apple. :(

— pawstrong

1

Це, швидше за все, щось у рядку, ці 2 порти (554/7070) призначені для реальних гравців RealServers.

http://service.real.com/firewall/adminfw.html

— Вік
джерело

Я погоджуюсь з тобою. Спасибі. Я зробив те, що запропонував Nickgrim, і він довів, що я все-таки можу відкрити порт (припускаючи, що жоден руткіт не замінив netcat, netstat та інші пов'язані бінарні файли, щоб обдурити мене!).

— Олексій

До речі, як я можу довести, що це так?

— Олексій

@atc: telnetвашому щойно прослуханому netcat, і перевірте, чи отримує він те, що ви вводите на ньому.

— nickgrim

10

Я схильний звинувачувати в цьому ваш провайдер або щось між вами та вашим сервером. Якщо ви просто хочете запевнити себе, що ці порти дійсно закриті, ви можете спробувати прослухати ці порти, і якщо це вдасться, тоді можна припустити, що вже нічого не слухають. Ось що я роблю на своїй машині (у якої Apache на порту 80, а на порту 81 нічого):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: І щоб бути впевненим, що це справді спрацювало, telnetперейдіть на інше вікно і перевірте, що netcatотримує те, що ви надсилаєте (можливо, ви захочете збільшити час --waitочікування).

— нікгрім
джерело

Це підтвердило, що проблема не на сервері - сканування іншого хоста перераховувало ті самі порти, які були відкриті, коли їх не було!

— Олексій

Хоча це не відповіло на пряме запитання, я дав вам підсумок, оскільки це був чудовий спосіб стверджувати, використовувались вони чи ні порти. Дякуємо за ваш внесок.

— Олексій

7

Мабуть, у цьому винен ваш маршрутизатор. Мені було просто цікаво, чи це проблема із перебуванням на хості OpenVZ, і я знайшов цю статтю: Чи відкриті або закриті порти 21, 554 та 7070? Відповідь - так.

Це має сенс для мене, оскільки я зараз перебуваю на хитрому маршрутизаторі FiOS Actiontec. Будь-яка комбінація тестування nmap та netcat на контейнері та вузлі хостів підтверджує, що ці порти насправді не відкриті.

— луністорвальдс
джерело

1

+1 для хитрого маршрутизатора FiOS Actiontec . Я знаю приватні ключі вашої коробки (так це роблять і інші, завдяки Little Black Box ).

Я перейшов до того, як втратив FiOS, але тепер використовую краще захищений маршрутизатор зі своїм бездротовим "маршрутизатором" в режимі AP. Кожен, хто читає цю статтю, повинен перевірити, чи пов'язаний цей проект. Приємний блог також :)

— lunistorvalds

Лише голова вгору: це все ще стосується Apple Airport Extreme. Я дізнався важкий шлях під час тестування налаштувань брандмауера для екземпляра Amazon ec2 з моєї домашньої мережі.

— jlapoutre

5

Різні різні маршрутизатори (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) показують порти 554і 7070чомусь відкриті для всіх IP-адрес.

Hackerific »Хибнопозитивні порти TCP!

— Заз
джерело

2

+1 за відмінне хакерфічне посилання.

— codingoutloud

0

Я згоден з нікгрімом. Також ви можете спробувати локальні сканування nmap із самого поля

Порівняйте вихід цих даних:

nmap 127.0.0.1

nmap 1.2.3.4

Де 1.2.3.4 - ваш публічний ip

— portforwardpodcast
джерело

0

Це може бути RTSP ALG (шлюз додаткового рівня) на вашому домашньому концентраторі, що перехоплює трафік та надає відповідь.

— AndrewW
джерело

0

Ви використовуєте VM для ESXi Guest? У мене почалися підроблені результати 554/7070, коли я перемістив свій Kali linux VM з Workstation на ESXi. Ви можете перевірити затримку:

nmap yourip --причина -p 7070 - переслідувати

Перевірте різну кількість переходів 554 та 7070 портів із звичайними портами ...

— enrico sandri
джерело