форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Слушается порт, которого НЕТ!"
Сообщение от qq (??) on 08-Сен-05, 15:29  (MSK)
Ситуация такая. В нете сидит сервак под Linux-ом. # uname -a Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 unknown unknown GNU/Linux Естественно фунциклирует iptables. Сервак используется как DNS и WEB. посему на нем открыты только 53 порт для UDP и 22,80 для TCP. На все остальное DROP. Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я получил отчет о том, что у меня слушается 110 порт, и более того, на нем сидит сфот с потенциальной дыркой... telnet ns.myserver.ru 110 подключается, а потом отваливается по таймауту. # netsat -nap | grep tcp | grep 110 выдает пустую строку. т.е. активного сервиса нет. как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится удаленно и к ней нет никакого доступа). Но, никакой посторонней активности я не обнаружил. более того, даже несмотря на то, что у меня и так стоит политика DROP, я прописал отдельно правило для того, чтобы все пакеты приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил правило, чтобы все соединения на 110 порт логировались (но увы и ах, это тоже не дало никакой информации). Внимание вопрос... ЧТО ЭТО МОЖЕТ БЫТЬ?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Слушается порт, которого НЕТ!"
Сообщение от Moralez (ok) on 10-Сен-05, 13:19  (MSK)
например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик и если нет, то забить.... p.s. ns.myserver.ru и myserver.ru - один комп?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Слушается порт, которого НЕТ!"
	Сообщение от qq_2 on 12-Сен-05, 08:16  (MSK)
	>например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик >и если нет, то забить.... > >p.s. ns.myserver.ru и myserver.ru - один комп? по поводу ника я его тоже использую очень давно, но раз уж я сюда пришел позже, буду зваться qq_#2 :) теперь по теме, tcpdump поставить не получится, поскольку сервак боевой, без средств компиляции и установки. Обновления конечно производятся, но вот установка совершенно нового софта не преведствуется политикой и инструкциями безопасности. теперь по делу, проверил несколько linux-машин, на всех идет коннект на 110 порт, даже если его, порта, нет. т.о. - это должно быть какая-то стандартная проблема. о том, что на 110 порт попытки произвести соединения были - об этом говорится в логах (перед дропом в правилах было создано правило -j LOG). Sep  9 15:27:41 isa kernel: POP3IN=eth0 OUT= MAC=00:e0:7d:e6:55:ad:00:30:85:65:98:80:08:00 SRC=ХХХ.ХХХ.ХХХ.ХХХ DST=ХХХ.ХХХ.ХХХ.ХХХ LEN=48 TOS=0x00 PREC=0x00 TTL=196 ID=25996 DF PROTO=TCP SPT=22716 DPT=110 WINDOW=8760 RES=0x00 SYN URGP=0
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Слушается порт, которого НЕТ!"
Сообщение от qq (ok) on 10-Сен-05, 18:59  (MSK)
как уже правильно сказали, смотри что происходит tcpdump-ом. по поводу ника - прошу ник qq не использовать тут, т.к. его использую я уже давно.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Слушается порт, которого НЕТ!"
Сообщение от Vanger13 (ok) on 12-Сен-05, 08:21  (MSK)
>Ситуация такая. В нете сидит сервак под Linux-ом. > ># uname -a >Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 >unknown unknown GNU/Linux > >Естественно фунциклирует iptables. Сервак используется как DNS и WEB. >посему на нем открыты только 53 порт для UDP и 22,80 для >TCP. На все остальное DROP. > >Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я >получил отчет о том, что у меня слушается 110 порт, и >более того, на нем сидит сфот с потенциальной дыркой... > >telnet ns.myserver.ru 110 >подключается, а потом отваливается по таймауту. > ># netsat -nap | grep tcp | grep 110 >выдает пустую строку. т.е. активного сервиса нет. > >как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при >чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится >удаленно и к ней нет никакого доступа). Но, никакой посторонней активности >я не обнаружил. > >более того, даже несмотря на то, что у меня и так стоит >политика DROP, я прописал отдельно правило для того, чтобы все пакеты >приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил >правило, чтобы все соединения на 110 порт логировались (но увы и >ах, это тоже не дало никакой информации). > >Внимание вопрос... >ЧТО ЭТО МОЖЕТ БЫТЬ? У меня был подобный перепуг, но всё оказалось очень просто :) на той машине, с которой запускали сканеры, случайно не стоит антивирус с возможностью проверки исходящей/входящей почты?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Слушается порт, которого НЕТ!"
	Сообщение от qq_2 on 12-Сен-05, 08:41  (MSK)
	>У меня был подобный перепуг, но всё оказалось очень просто :) >на той машине, с которой запускали сканеры, случайно не стоит антивирус с >возможностью проверки исходящей/входящей почты? случайно стоит... :D СПС. даже не подумал бы. В общем при подключении с машины на которой нат AV, никакого соединения нету. Блин, как все просто оказалось-то.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.