forum.opennet.ru - "Непонятные 'сервисы' во FreeBSD" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Непонятные 'сервисы' во FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Непонятные 'сервисы' во FreeBSD"
Сообщение от mailer (ok) on 22-Фев-06, 20:04
Никто не встречался с такой проблемой: Поставил свежую FreeBSD-5.4-RELEASE, запретил запуск всего, что только может слушать сеть и просканировал машину XSpider-ом. Так вот, этот Спайдер говорит что на машине есть заблокированные портв - 21, 25, и 110. Тогда на BSD запускаю tcpdump и с удивлением вижу, что машина отвечает на TCP запросы по этим портам, хотя, повторюсь, никаких сетевых служб (sendmail, ftpd и пр.) не запущено. Никто не знает что за "барабашки" сидят на этих портах? Или это IP стек так работает? P.S. на всякий случай прибивал syslogd, devd а проблема остается
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Непонятные 'сервисы' во FreeBSD, edwin, 22:12 , 22-Фев-06, (1)
Непонятные 'сервисы' во FreeBSD, nimb, 02:01 , 23-Фев-06, (2)
Непонятные 'сервисы' во FreeBSD, mailer, 12:22 , 26-Фев-06, (3)

Непонятные 'сервисы' во FreeBSD, Дениска, 13:19 , 26-Фев-06, (4)

Непонятные 'сервисы' во FreeBSD, mailer, 15:39 , 26-Фев-06, (5)

Непонятные 'сервисы' во FreeBSD, mezantrop, 15:46 , 26-Фев-06, (6)

Непонятные 'сервисы' во FreeBSD, mailer, 16:40 , 26-Фев-06, (7)
Непонятные 'сервисы' во FreeBSD, mailer, 16:53 , 26-Фев-06, (8)

Непонятные 'сервисы' во FreeBSD, RSG, 17:11 , 26-Фев-06, (9)

Непонятные 'сервисы' во FreeBSD, mailer, 17:42 , 26-Фев-06, (10)

Непонятные 'сервисы' во FreeBSD, RSG, 18:49 , 26-Фев-06, (11)

Непонятные 'сервисы' во FreeBSD, Дениска, 09:04 , 27-Фев-06, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "Непонятные 'сервисы' во FreeBSD"

Сообщение от edwin (ok) on 22-Фев-06, 22:12

>Никто не встречался с такой проблемой:
>Поставил свежую FreeBSD-5.4-RELEASE, запретил запуск всего, что только может слушать сеть и
>просканировал машину XSpider-ом. Так вот, этот Спайдер говорит что на машине
>есть заблокированные портв - 21, 25, и 110.
>Тогда на BSD запускаю tcpdump и с удивлением вижу, что машина отвечает
>на TCP запросы по этим портам, хотя, повторюсь, никаких сетевых служб
>(sendmail, ftpd и пр.) не запущено.
>Никто не знает что за "барабашки" сидят на этих портах? Или это
>IP стек так работает?
>P.S. на всякий случай прибивал syslogd, devd а проблема остается
sockstat -4
покажет привязку процессов к портам.
Я думаю в твоем случае надо в rc.conf:
sendmail_enable="NONE"
inetd_enable="NO"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Непонятные 'сервисы' во FreeBSD"

Сообщение от nimb (ok) on 23-Фев-06, 02:01

лог tcpdump-а покажи

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Непонятные 'сервисы' во FreeBSD"

Сообщение от mailer (ok) on 26-Фев-06, 12:22

Еще раз повторю, что никаких sendmail, inetd, и прочих сервисов на машине не запущено. Даже syslogd прибиваю. Посуществу есть только ядро и getty на консолях.
Вот протокол tcpdump-а:
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 68 bytes
11:46:42.953120 IP (tos 0x0, ttl 128, id 13407, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
11:46:42.953193 IP (tos 0x0, ttl  64, id 4, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 221802141 win 0
11:46:43.401201 IP (tos 0x0, ttl 128, id 13585, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
11:46:43.401228 IP (tos 0x0, ttl  64, id 5, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 1 win 0
11:46:43.904134 IP (tos 0x0, ttl 128, id 13698, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
11:46:43.904190 IP (tos 0x0, ttl  64, id 6, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 1 win 0
P.S. Поднял систему до текущего STABLE. Ничего не изменилось...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Непонятные 'сервисы' во FreeBSD"

Сообщение от Дениска (ok) on 26-Фев-06, 13:19

>11:46:42.953120 IP (tos 0x0, ttl 128, id 13407, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
>11:46:42.953193 IP (tos 0x0, ttl  64, id 4, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 221802141 win 0
ну а ман посмотреть на предмет того, что означает буковка R
пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать, чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Непонятные 'сервисы' во FreeBSD"

Сообщение от mailer (ok) on 26-Фев-06, 15:39

>ну а ман посмотреть на предмет того, что означает буковка R
>пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать,
>чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).
>
Вопрос не в этом. Вопрос - почему ядро отвечает только на эти три порта(21,25,110), а на остальные вообще молчит? Как по мне - так это похоже на backdoor какой-то... Ведь на другие порты tcpdump ничего не показывает

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Непонятные 'сервисы' во FreeBSD"

Сообщение от mezantrop (??) on 26-Фев-06, 15:46

>>ну а ман посмотреть на предмет того, что означает буковка R
>>пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать,
>>чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).
>>
>Вопрос не в этом. Вопрос - почему ядро отвечает только на эти
>три порта(21,25,110), а на остальные вообще молчит? Как по мне -
>так это похоже на backdoor какой-то... Ведь на другие порты tcpdump
>ничего не показывает
Просили же показать sockstat -4l

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Непонятные 'сервисы' во FreeBSD"

Сообщение от mailer (ok) on 26-Фев-06, 16:40

>Просили же показать sockstat -4l
Пусто там - нету ничего!!!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Непонятные 'сервисы' во FreeBSD"

Сообщение от mailer (ok) on 26-Фев-06, 16:53

>Просили же показать sockstat -4l
А в netstat только файловые сокеты:
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  *.22                   *.*                    LISTEN
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
c1319000 stream      0      0 c131a108        0        0        0 /var/run/devd.pipe
c1318a64 dgram       0      0        0 c1318e38        0 c1318c94
c1318c94 dgram       0      0        0 c1318e38        0        0
c1318e38 dgram       0      0 c130b528        0 c1318a64        0 /var/run/logpriv
c1318ec4 dgram       0      0 c130b630        0        0        0 /var/run/log

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Непонятные 'сервисы' во FreeBSD"

Сообщение от RSG (??) on 26-Фев-06, 17:11

>Вопрос не в этом. Вопрос - почему ядро отвечает только на эти
>три порта(21,25,110), а на остальные вообще молчит? Как по мне -
>так это похоже на backdoor какой-то... Ведь на другие порты tcpdump
>ничего не показывает
Видимо только на эти порты идут запросы. ;)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Непонятные 'сервисы' во FreeBSD"

Сообщение от mailer (ok) on 26-Фев-06, 17:42

>Видимо только на эти порты идут запросы. ;)
Угадал!;-)
P.S. внимательно прочитай начало темы!!!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Непонятные 'сервисы' во FreeBSD"

Сообщение от RSG (??) on 26-Фев-06, 18:49

>>>Вопрос - почему ядро отвечает только на эти
>>>три порта(21,25,110), а на остальные вообще молчит?
>>Видимо только на эти порты идут запросы. ;)
>Угадал!;-)
>P.S. внимательно прочитай начало темы!!!
Прочитал, в итоге имеем (поправь если где ошибся):
1) Ни один сокет не открыт на нашей машине.
2) Кто-то пытается установить соединение на нашу машину (установленно из tcpdump). Так же из tcpdump видно, что на SYN сегмент наша машина отвечает RST сегментом (что верно, см. RFC-793 p.36).
Так где вопрос?
P.S. Кстате sockstat'а мы так и не дождались, а ведь открыт как минимум tcp:22. ;)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Непонятные 'сервисы' во FreeBSD"

Сообщение от Дениска (ok) on 27-Фев-06, 09:04

человек проверил XSPiderom, тот, поди, проверяет только конкретный набор портов, на которые ему вернулся RST пакет, он посчитал, что порты открыты, тока firewall их прикрывает. Видимо отсюда и вылез вопрос. Ты попробуй слушать tcpdumpом какой нить левый порт, типа 666, а с соседней тачки сделать telnet на 666 порт, и ДОЛЖЕН увидеть, такую же картинку, т.е. ответы RST пакетами.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятные 'сервисы' во FreeBSD"
Сообщение от edwin (ok) on 22-Фев-06, 22:12
>Никто не встречался с такой проблемой: >Поставил свежую FreeBSD-5.4-RELEASE, запретил запуск всего, что только может слушать сеть и >просканировал машину XSpider-ом. Так вот, этот Спайдер говорит что на машине >есть заблокированные портв - 21, 25, и 110. >Тогда на BSD запускаю tcpdump и с удивлением вижу, что машина отвечает >на TCP запросы по этим портам, хотя, повторюсь, никаких сетевых служб >(sendmail, ftpd и пр.) не запущено. >Никто не знает что за "барабашки" сидят на этих портах? Или это >IP стек так работает? >P.S. на всякий случай прибивал syslogd, devd а проблема остается sockstat -4 покажет привязку процессов к портам. Я думаю в твоем случае надо в rc.conf: sendmail_enable="NONE" inetd_enable="NO"
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

2. "Непонятные 'сервисы' во FreeBSD"
Сообщение от nimb (ok) on 23-Фев-06, 02:01
лог tcpdump-а покажи
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

3. "Непонятные 'сервисы' во FreeBSD"
Сообщение от mailer (ok) on 26-Фев-06, 12:22
Еще раз повторю, что никаких sendmail, inetd, и прочих сервисов на машине не запущено. Даже syslogd прибиваю. Посуществу есть только ядро и getty на консолях. Вот протокол tcpdump-а: tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 68 bytes 11:46:42.953120 IP (tos 0x0, ttl 128, id 13407, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK> 11:46:42.953193 IP (tos 0x0, ttl 64, id 4, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 221802141 win 0 11:46:43.401201 IP (tos 0x0, ttl 128, id 13585, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK> 11:46:43.401228 IP (tos 0x0, ttl 64, id 5, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 1 win 0 11:46:43.904134 IP (tos 0x0, ttl 128, id 13698, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK> 11:46:43.904190 IP (tos 0x0, ttl 64, id 6, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 1 win 0 P.S. Поднял систему до текущего STABLE. Ничего не изменилось...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от Дениска (ok) on 26-Фев-06, 13:19
	>11:46:42.953120 IP (tos 0x0, ttl 128, id 13407, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK> >11:46:42.953193 IP (tos 0x0, ttl 64, id 4, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 221802141 win 0 ну а ман посмотреть на предмет того, что означает буковка R пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать, чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от mailer (ok) on 26-Фев-06, 15:39
	>ну а ман посмотреть на предмет того, что означает буковка R >пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать, >чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки). > Вопрос не в этом. Вопрос - почему ядро отвечает только на эти три порта(21,25,110), а на остальные вообще молчит? Как по мне - так это похоже на backdoor какой-то... Ведь на другие порты tcpdump ничего не показывает
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от mezantrop (??) on 26-Фев-06, 15:46
	>>ну а ман посмотреть на предмет того, что означает буковка R >>пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать, >>чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки). >> >Вопрос не в этом. Вопрос - почему ядро отвечает только на эти >три порта(21,25,110), а на остальные вообще молчит? Как по мне - >так это похоже на backdoor какой-то... Ведь на другие порты tcpdump >ничего не показывает Просили же показать sockstat -4l
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от mailer (ok) on 26-Фев-06, 16:40
	>Просили же показать sockstat -4l Пусто там - нету ничего!!!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от mailer (ok) on 26-Фев-06, 16:53
	>Просили же показать sockstat -4l А в netstat только файловые сокеты: Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp4 0 0 .22 .* LISTEN Active UNIX domain sockets Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr c1319000 stream 0 0 c131a108 0 0 0 /var/run/devd.pipe c1318a64 dgram 0 0 0 c1318e38 0 c1318c94 c1318c94 dgram 0 0 0 c1318e38 0 0 c1318e38 dgram 0 0 c130b528 0 c1318a64 0 /var/run/logpriv c1318ec4 dgram 0 0 c130b630 0 0 0 /var/run/log
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от RSG (??) on 26-Фев-06, 17:11
	>Вопрос не в этом. Вопрос - почему ядро отвечает только на эти >три порта(21,25,110), а на остальные вообще молчит? Как по мне - >так это похоже на backdoor какой-то... Ведь на другие порты tcpdump >ничего не показывает Видимо только на эти порты идут запросы. ;)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от mailer (ok) on 26-Фев-06, 17:42
	>Видимо только на эти порты идут запросы. ;) Угадал!;-) P.S. внимательно прочитай начало темы!!!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от RSG (??) on 26-Фев-06, 18:49
	>>>Вопрос - почему ядро отвечает только на эти >>>три порта(21,25,110), а на остальные вообще молчит? >>Видимо только на эти порты идут запросы. ;) >Угадал!;-) >P.S. внимательно прочитай начало темы!!! Прочитал, в итоге имеем (поправь если где ошибся): 1) Ни один сокет не открыт на нашей машине. 2) Кто-то пытается установить соединение на нашу машину (установленно из tcpdump). Так же из tcpdump видно, что на SYN сегмент наша машина отвечает RST сегментом (что верно, см. RFC-793 p.36). Так где вопрос? P.S. Кстате sockstat'а мы так и не дождались, а ведь открыт как минимум tcp:22. ;)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "Непонятные 'сервисы' во FreeBSD"
	Сообщение от Дениска (ok) on 27-Фев-06, 09:04
	человек проверил XSPiderom, тот, поди, проверяет только конкретный набор портов, на которые ему вернулся RST пакет, он посчитал, что порты открыты, тока firewall их прикрывает. Видимо отсюда и вылез вопрос. Ты попробуй слушать tcpdumpом какой нить левый порт, типа 666, а с соседней тачки сделать telnet на 666 порт, и ДОЛЖЕН увидеть, такую же картинку, т.е. ответы RST пакетами.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]