grisha
написал 18 февраля 2008 года в 14:16 (1237 просмотров)
Ведет себя
как мужчина; открыл 34 темы в форуме, оставил 202 комментария на сайте.
У меня firestarter. Решил просканировать себя nmap. Все закрыто, но при udp cканировании nmap выдает — (38072/udp open unknown). Через промежуток времени порт меняется например на 33882. Неизвестна служба кот. его открывает и почему он постоянно меняется? И вобще я подозритетельный тип. Успокойте пожалуйста.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Смотри, что слушает интересующий порт, в выводе команды:
netstat -atupn
netstat -atupn выдает tcp протоколы и ни одного udp в то время как nmap опять показывает например вот это 50982/udp open unknown.
Если netstap -aupn пустой, то пора искать руткиты. Какой дистрибутив? И вообще всю растановку, что за машина, нет ли чего подозрительного в логах? Есть ли возможность выключать ее? Можно ли сравнить скажем утилитку netstat с дистрибутивной? и т.д.
влезь в ядро, и в функцию sys_socket, и напиши там, что-нибудь в стиле:
;)
netstat -aupn пустой. Машина обычная домашняя, сети нет, dsl-интернет, ubuntu 2.6.22-14-generic, включается и выключается, netstat — дистрибутивная. В логи посмотрю.
Что значит влезь в ядро? Это что без компиляции можно просто код в консоли выполнить? Хотелось бы услышать что этот код означает, а то насоветуешь…
В переводе на русский этот код означает:
printk (KERN_DEBUG «pid=%u tries to create socket\n», (unsigned)current->pid);
bash: ошибка синтаксиса около неожиданной лексемы `KERN_DEBUG'
это код на си
А что же с портом может быть?
Слышь, а тебе не приходило в голову, что nmap, для того чтобы сканить, тоже создаёт сокет?
И что он может сам себя сканировать? Значит все таки паранойя. Т.е. если ты тоже просканируешь себя по udp у тебя тоже самое будет?
Да? И listen вызывает? :)
Ну хез, проверит пусть.
Мысль не приходила. Но я не поленился просканил себя, ничего такого не наблюдается.
grisha
ты как nmap запускал? С опцией -sU и без всяких дополнительностей?
Nmap запускался так — nmap -sU -O -p- -PI -PT мой сетевой адрес
Выше это c графической оболочкой. А вот что в консоли получается -
Starting Nmap 4.20 ( http://insecure.org ) at 2008-02-19 18:48 VLAT
Interesting ports
Not shown: 65534 closed ports
PORT STATE SERVICE
39448/udp open unknown
Nmap finished: 1 IP address (1 host up) scanned in 5.033 seconds
Забыл. В консоли писал просто -sU
А если перед сканированием аську выключить?
А никакой аськи-то и нет совсем.
А это моя телепатия облажалась =).
Всё-таки я бы взглянул на вывод 'netstat -atupn’.
вот что есть pstree
init─┬─NetworkManager
├─NetworkManagerD
├─acpid
├─bonobo-activati───{bonobo-activati}
├─clamd
├─console-kit-dae───61*[{console-kit-dae}]
├─cron
├─cupsd
├─2*[dbus-daemon]
├─dd
├─deskbar-applet───2*[{deskbar-applet}]
├─dhcdbd
├─evolution-alarm───2*[{evolution-alarm}]
├─evolution-data-───2*[{evolution-data-}]
├─firefox───run-mozilla.sh───firefox-bin───6*[{firefox-bin}]
├─gconfd-2
├─gdm───gdm─┬─Xorg
│ └─x-session-manag─┬─compiz─┬─compiz.real
│ │ └─gtk-window-deco
│ ├─gnome-panel
│ ├─nautilus
│ ├─nm-applet
│ ├─python
│ ├─ssh-agent
│ ├─trackerd───2*[{trackerd}]
│ ├─vino-session
│ └─{x-session-manag}
├─6*[getty]
├─gnome-keyring-d
├─gnome-power-man
├─gnome-screensav
├─gnome-settings-───{gnome-settings-}
├─gnome-terminal─┬─bash───pstree
│ ├─gnome-pty-helpe
│ └─{gnome-terminal}
├─gnome-vfs-daemo
├─gnome-volume-ma
├─gpg-agent
├─hald───hald-runner─┬─hald-addon-acpi
│ ├─3*[hald-addon-keyb]
│ └─2*[hald-addon-stor]
├─hcid───2*[bluetoothd-serv]
├─klogd
├─mapping-daemon
├─mixer_applet2───{mixer_applet2}
├─3*[mount.ntfs]
├─syslogd
├─system-tools-ba───dbus-daemon
├─trashapplet
└─udevd
да что там netstat. Я все повыключал кроме принтера который привязан локально. Вот
sudo netstat -autpn
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 5346/cupsd
Все нормально у тебя cupsd поднят — это сервис для принтера и висит он на локальном интерфейсе.
Это что за херня?
Открыл системный журнал, смотрю auth.log и в это время в нем добавляются такие новые записи
Feb 19 23:00:01 boo CRON[7990]: pam_unix(cron:session): session closed for user root
Feb 19 23:05:01 boo CRON[7998]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 19 23:05:01 boo CRON[7998]: pam_unix(cron:session): session closed for user root
Feb 19 23:10:01 boo CRON[8009]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 19 23:10:01 boo CRON[8009]: pam_unix(cron:session): session closed for user root
Feb 19 23:15:01 boo CRON[8032]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 19 23:15:01 boo CRON[8032]: pam_unix(cron:session): session closed for user root
Feb 19 23:17:01 boo CRON[8038]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 19 23:17:02 boo CRON[8038]: pam_unix(cron:session): session closed for user root
Это что у меня cron автоматически открывает и закрывает сессию для roota? (блин, волнуюсь, непонятно)
по-прежднему непонятно с открытым портом, кот. постоянно меняет свое значение
Лог cron посмотри и его конфиг не помешает.
Тогда такой вопрос. Может убрать лентяйский firestarter и настроить iptables вручную, чтоб наверняка? :-)
Ну или для начала хотя бы почитать поток сознания firestarter’а.
[quote поток сознания firestarter'а. [/quote]
Если ты про справку, то я читал и там все очень просто, но возможностей для настроек мало. Предполагается, если все сделать по умолчанию, то можно не париться, никто и ничто не пролезет.
еще бы научиться форумом пользоваться 8-) эх…
Ну тогда и не парься:) Что у тебя делает iptables на данный момент совсем не лишнее глянуть.