URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2287
[ Назад ]

Исходное сообщение
"Слушается порт, которого НЕТ!"
Отправлено qq , 08-Сен-05 15:29

Ситуация такая. В нете сидит сервак под Linux-ом.
# uname -a
Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 unknown unknown GNU/Linux
Естественно фунциклирует iptables. Сервак используется как DNS и WEB.
посему на нем открыты только 53 порт для UDP и 22,80 для TCP. На все остальное DROP.
Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я получил отчет о том, что у меня слушается 110 порт, и более того, на нем сидит сфот с потенциальной дыркой...
telnet ns.myserver.ru 110
подключается, а потом отваливается по таймауту.
# netsat -nap | grep tcp | grep 110
выдает пустую строку. т.е. активного сервиса нет.
как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится удаленно и к ней нет никакого доступа). Но, никакой посторонней активности я не обнаружил.
более того, даже несмотря на то, что у меня и так стоит политика DROP, я прописал отдельно правило для того, чтобы все пакеты приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил правило, чтобы все соединения на 110 порт логировались (но увы и ах, это тоже не дало никакой информации).
Внимание вопрос...
ЧТО ЭТО МОЖЕТ БЫТЬ?

Содержание

Слушается порт, которого НЕТ!,Moralez, 13:19 , 10-Сен-05
- Слушается порт, которого НЕТ!,qq_2, 08:16 , 12-Сен-05
Слушается порт, которого НЕТ!,qq, 18:59 , 10-Сен-05
Слушается порт, которого НЕТ!,Vanger13, 08:21 , 12-Сен-05
- Слушается порт, которого НЕТ!,qq_2, 08:41 , 12-Сен-05

Сообщения в этом обсуждении

"Слушается порт, которого НЕТ!"
Отправлено Moralez , 10-Сен-05 13:19

например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик и если нет, то забить....
p.s. ns.myserver.ru и myserver.ru - один комп?

"Слушается порт, которого НЕТ!"
Отправлено qq_2 , 12-Сен-05 08:16

>например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик
>и если нет, то забить....
>
>p.s. ns.myserver.ru и myserver.ru - один комп?
по поводу ника я его тоже использую очень давно, но раз уж я сюда пришел позже, буду зваться qq_#2 :)
теперь по теме, tcpdump поставить не получится, поскольку сервак боевой, без средств компиляции и установки. Обновления конечно производятся, но вот установка совершенно нового софта не преведствуется политикой и инструкциями безопасности.
теперь по делу, проверил несколько linux-машин, на всех идет коннект на 110 порт, даже если его, порта, нет. т.о. - это должно быть какая-то стандартная проблема.
о том, что на 110 порт попытки произвести соединения были - об этом говорится в логах (перед дропом в правилах было создано правило -j LOG).
Sep 9 15:27:41 isa kernel: POP3IN=eth0 OUT= MAC=00:e0:7d:e6:55:ad:00:30:85:65:98:80:08:00 SRC=ХХХ.ХХХ.ХХХ.ХХХ DST=ХХХ.ХХХ.ХХХ.ХХХ LEN=48 TOS=0x00 PREC=0x00 TTL=196 ID=25996 DF PROTO=TCP SPT=22716 DPT=110 WINDOW=8760 RES=0x00 SYN URGP=0

"Слушается порт, которого НЕТ!"
Отправлено qq , 10-Сен-05 18:59

как уже правильно сказали, смотри что происходит tcpdump-ом.
по поводу ника - прошу ник qq не использовать тут, т.к. его использую я уже давно.

"Слушается порт, которого НЕТ!"
Отправлено Vanger13 , 12-Сен-05 08:21

>Ситуация такая. В нете сидит сервак под Linux-ом.
>
># uname -a
>Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686
>unknown unknown GNU/Linux
>
>Естественно фунциклирует iptables. Сервак используется как DNS и WEB.
>посему на нем открыты только 53 порт для UDP и 22,80 для
>TCP. На все остальное DROP.
>
>Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я
>получил отчет о том, что у меня слушается 110 порт, и
>более того, на нем сидит сфот с потенциальной дыркой...
>
>telnet ns.myserver.ru 110
>подключается, а потом отваливается по таймауту.
>
># netsat -nap | grep tcp | grep 110
>выдает пустую строку. т.е. активного сервиса нет.
>
>как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при
>чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится
>удаленно и к ней нет никакого доступа). Но, никакой посторонней активности
>я не обнаружил.
>
>более того, даже несмотря на то, что у меня и так стоит
>политика DROP, я прописал отдельно правило для того, чтобы все пакеты
>приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил
>правило, чтобы все соединения на 110 порт логировались (но увы и
>ах, это тоже не дало никакой информации).
>
>Внимание вопрос...
>ЧТО ЭТО МОЖЕТ БЫТЬ?
У меня был подобный перепуг, но всё оказалось очень просто :)
на той машине, с которой запускали сканеры, случайно не стоит антивирус с возможностью проверки исходящей/входящей почты?

"Слушается порт, которого НЕТ!"
Отправлено qq_2 , 12-Сен-05 08:41

>У меня был подобный перепуг, но всё оказалось очень просто :)
>на той машине, с которой запускали сканеры, случайно не стоит антивирус с
>возможностью проверки исходящей/входящей почты?
случайно стоит... :D
СПС. даже не подумал бы.
В общем при подключении с машины на которой нат AV, никакого соединения нету. Блин, как все просто оказалось-то.