View previous topic :: View next topic |
Author |
Message |
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Sun Mar 30, 2003 12:22 am Post subject: Onbekende server op poort 723 |
|
|
Ik heb een kwartier geleden mijn gentoo-bakske up to date gebracht. Het enigste verschil was dat er een nieuwe versie van nmap op stond. Ik heb die dan maar meteen uitgeprobeerd en die zegt dat poort 723 open staat, nu ben ik er zeker van dat ik nooit een server heb geinstalleerd die die poort gebruikt.
Ik heb dan maar is "netstat -l -p --inet" gedaan en dit geeft een streepje in de kolom "PID/Program" (van de andere servers wordt wel de naam en het PID vermeld).
Iemand een idee wat dit is ? _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
Supox n00b
Joined: 04 Aug 2002 Posts: 63 Location: Netherlands
|
Posted: Sun Mar 30, 2003 9:12 am Post subject: |
|
|
Garo,, je zou via google kunnen welke protocollen gebruikmaken van deze port. Daarnaast zou je d.mv. van telnet kunnen proberen te achterhalen wat er nu precies op die port gekoppeld zit.
Dit doe je als volgt:
Code: | telnet <ip-adres> 723 |
Misschien dat er nog andere methodes zijn, die je hierbij kunnen helpen maar dat zul je zelf verder moeten onderzoeken. |
|
Back to top |
|
|
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Sun Mar 30, 2003 2:13 pm Post subject: |
|
|
Quote: | Garo,, je zou via google kunnen welke protocollen gebruikmaken van deze port. |
Al gedaan, het enigste wat ik vond was een verbinding naar een lpd print server van deze poort moet komen, maar er wordt geluisterd op 723, geen verbinding gemaakt vanaf 723.
Quote: | Daarnaast zou je d.mv. van telnet kunnen proberen te achterhalen wat er nu precies op die port gekoppeld zit. |
Dit heb ik ook gedaan, niet met telnet maar met nc (Dit heeft als voordeel dat er geen data wordt gestuurd die je niet hebt ingegeven,telnet doet dit wel om de verbinding te initialiseren volgens het telnet protocol) maar de verbinding wordt onmiddelijk afgesloten. _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
Stuartje Apprentice
Joined: 12 Dec 2002 Posts: 165
|
Posted: Sun Mar 30, 2003 3:44 pm Post subject: |
|
|
Is die pc rechtstreeks met inet verbonden? |
|
Back to top |
|
|
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Sun Mar 30, 2003 8:32 pm Post subject: |
|
|
ja, ik gebruik hem als router en desktop.
2 Windows pc's gaan via mij op het net maar deze hebben er niets mee te maken, want als ik ze afzet heb ik 723 nog steeds open.
Ik gebruik iptables als firewall voor mijn machine te beschermen.Ik blok al het verkeer naar mij (INPUT) en naar de win pc's (FORWARD) en ik laat alleen verkeer toe met: Code: | iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT #eth0 is lokaal en eth1 is internet
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT |
Ik vermoed dus dat ik niet gehackt ben. _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
Stuartje Apprentice
Joined: 12 Dec 2002 Posts: 165
|
Posted: Sun Mar 30, 2003 8:34 pm Post subject: |
|
|
Ik zou je aanraden van chkrootkit eens te draaien en te kijken of ie niets vindt! |
|
Back to top |
|
|
water Guru
Joined: 19 Jun 2002 Posts: 387 Location: Zierikzee, The Netherlands
|
Posted: Mon Mar 31, 2003 5:34 am Post subject: |
|
|
Ik zou specifiek de betreffende npoort blokken en loggen, dan kun je iig zien of er wat gebeurt. _________________ Groeten uit Holland |
|
Back to top |
|
|
rdvrey Tux's lil' helper
Joined: 03 Mar 2003 Posts: 92 Location: Netherlands, Amersfoort
|
Posted: Mon Mar 31, 2003 9:08 pm Post subject: |
|
|
lsof -i +M laat iets meer informatie zien
groeten
Robert |
|
Back to top |
|
|
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Mon Mar 31, 2003 9:26 pm Post subject: |
|
|
Quote: | Ik zou specifiek de betreffende npoort blokken en loggen, dan kun je iig zien of er wat gebeurt. |
Hij is al geblokt door mijn firewall
Quote: | lsof -i +M laat iets meer informatie zien |
...maar alleen over X,dhcpd en ssh. _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
rdvrey Tux's lil' helper
Joined: 03 Mar 2003 Posts: 92 Location: Netherlands, Amersfoort
|
Posted: Mon Mar 31, 2003 9:34 pm Post subject: |
|
|
Al eens gedacht aan een nessus scan door iemand anders van buiten af, voor de zekerheid.
groeten
Robert |
|
Back to top |
|
|
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Fri Apr 04, 2003 11:26 pm Post subject: |
|
|
GEVONDEN !!!
Het was openmosix, openmosix communiceert langs die poort en aangezien dit in de kernel zit en de kernel geen PID of programmanaam heeft gaf netstat geen info. _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
water Guru
Joined: 19 Jun 2002 Posts: 387 Location: Zierikzee, The Netherlands
|
Posted: Sun Apr 06, 2003 5:46 pm Post subject: |
|
|
Nu vraag ik mij toch nog af hoe je firewall in elkaar steekt. De meest veilige policy is alles droppen/rejecten en dan specifieke zaken openzetten. Voer je die policy niet, of pakt iptables hem niet? _________________ Groeten uit Holland |
|
Back to top |
|
|
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Sun Apr 06, 2003 8:21 pm Post subject: |
|
|
Ik drop alles naar binnen of voor te forwarden en zet specifieke zaken open.Alles naar buiten laat ik toe.
specifieke zaken:
-alles komende van interne netwerken (ook loopback) mag binnen.
-al het verkeer op een socket die ik gecreerd heb of in verband met iets dat ik gestuurd heb mag naar binnen. _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
JefP@@ Apprentice
Joined: 09 May 2002 Posts: 179 Location: Belgium
|
Posted: Fri Apr 11, 2003 1:35 pm Post subject: |
|
|
firewall lijkt in orde
hoe kom je erbij openmosix te gebruiken?
zoveel pc's staan thuis :p
grtz |
|
Back to top |
|
|
garo Bodhisattva
Joined: 15 Jul 2002 Posts: 860 Location: Edegem,BELGIUM
|
Posted: Sat Apr 12, 2003 9:56 am Post subject: |
|
|
ik gebruik het het niet om het te gebruiken maar om het te testen. _________________ My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam |
|
Back to top |
|
|
|