Ситуация такая. В нете сидит сервак под Linux-ом.# uname -a
Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 unknown unknown GNU/LinuxЕстественно фунциклирует iptables. Сервак используется как DNS и WEB.
посему на нем открыты только 53 порт для UDP и 22,80 для TCP. На все остальное DROP.Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я получил отчет о том, что у меня слушается 110 порт, и более того, на нем сидит сфот с потенциальной дыркой...
telnet ns.myserver.ru 110
подключается, а потом отваливается по таймауту.# netsat -nap | grep tcp | grep 110
выдает пустую строку. т.е. активного сервиса нет.как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится удаленно и к ней нет никакого доступа). Но, никакой посторонней активности я не обнаружил.
более того, даже несмотря на то, что у меня и так стоит политика DROP, я прописал отдельно правило для того, чтобы все пакеты приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил правило, чтобы все соединения на 110 порт логировались (но увы и ах, это тоже не дало никакой информации).
Внимание вопрос...
ЧТО ЭТО МОЖЕТ БЫТЬ?
например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик и если нет, то забить....p.s. ns.myserver.ru и myserver.ru - один комп?
>например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик
>и если нет, то забить....
>
>p.s. ns.myserver.ru и myserver.ru - один комп?по поводу ника я его тоже использую очень давно, но раз уж я сюда пришел позже, буду зваться qq_#2 :)
теперь по теме, tcpdump поставить не получится, поскольку сервак боевой, без средств компиляции и установки. Обновления конечно производятся, но вот установка совершенно нового софта не преведствуется политикой и инструкциями безопасности.
теперь по делу, проверил несколько linux-машин, на всех идет коннект на 110 порт, даже если его, порта, нет. т.о. - это должно быть какая-то стандартная проблема.
о том, что на 110 порт попытки произвести соединения были - об этом говорится в логах (перед дропом в правилах было создано правило -j LOG).
Sep 9 15:27:41 isa kernel: POP3IN=eth0 OUT= MAC=00:e0:7d:e6:55:ad:00:30:85:65:98:80:08:00 SRC=ХХХ.ХХХ.ХХХ.ХХХ DST=ХХХ.ХХХ.ХХХ.ХХХ LEN=48 TOS=0x00 PREC=0x00 TTL=196 ID=25996 DF PROTO=TCP SPT=22716 DPT=110 WINDOW=8760 RES=0x00 SYN URGP=0
как уже правильно сказали, смотри что происходит tcpdump-ом.по поводу ника - прошу ник qq не использовать тут, т.к. его использую я уже давно.
>Ситуация такая. В нете сидит сервак под Linux-ом.
>
># uname -a
>Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686
>unknown unknown GNU/Linux
>
>Естественно фунциклирует iptables. Сервак используется как DNS и WEB.
>посему на нем открыты только 53 порт для UDP и 22,80 для
>TCP. На все остальное DROP.
>
>Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я
>получил отчет о том, что у меня слушается 110 порт, и
>более того, на нем сидит сфот с потенциальной дыркой...
>
>telnet ns.myserver.ru 110
>подключается, а потом отваливается по таймауту.
>
># netsat -nap | grep tcp | grep 110
>выдает пустую строку. т.е. активного сервиса нет.
>
>как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при
>чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится
>удаленно и к ней нет никакого доступа). Но, никакой посторонней активности
>я не обнаружил.
>
>более того, даже несмотря на то, что у меня и так стоит
>политика DROP, я прописал отдельно правило для того, чтобы все пакеты
>приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил
>правило, чтобы все соединения на 110 порт логировались (но увы и
>ах, это тоже не дало никакой информации).
>
>Внимание вопрос...
>ЧТО ЭТО МОЖЕТ БЫТЬ?У меня был подобный перепуг, но всё оказалось очень просто :)
на той машине, с которой запускали сканеры, случайно не стоит антивирус с возможностью проверки исходящей/входящей почты?
>У меня был подобный перепуг, но всё оказалось очень просто :)
>на той машине, с которой запускали сканеры, случайно не стоит антивирус с
>возможностью проверки исходящей/входящей почты?случайно стоит... :D
СПС. даже не подумал бы.
В общем при подключении с машины на которой нат AV, никакого соединения нету. Блин, как все просто оказалось-то.