nmap na moim serwerze pokazuje, że porty TCP 554 i 7070 są otwarte

11

Mam serwer internetowy, który udostępnia mi różne strony internetowe. Dwie usługi dostępne na zewnątrz to SSH i Apache2. Działają one odpowiednio na niestandardowym i standardowym porcie. Wszystkie pozostałe porty są jawnie zamykane przez arno-iptables-firewall. Host uruchamia testy Debiana.

Zauważyłem, że skanowanie hosta za pomocą nmap dało różne wyniki z różnych komputerów. Z laptopa w mojej sieci domowej (za BT Homehub) otrzymuję:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

mając na uwadze, że skanowanie z serwera w USA z nmap 5.00 i Linux-em w Norwegii z nmap 5.21 otrzymuję:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

więc mam nadzieję, że gra moja wewnętrzna sieć lub dostawca usług internetowych, ale nie jestem pewien.

Uruchomienie netstat -l | grep 7070nic nie daje. Podobnie dla portu 554.

Czy ktoś może wyjaśnić osobliwości, które widzę?

security debian port Alex
źródło
Czy oba wyniki dotyczą skanów wykonanych w tym samym czasie.
pradeepchhetri
3
Czy przypadkiem używasz ekstremalnego lotniska Apple lub kapsuły czasowej Apple w swojej sieci domowej?
faker
Mam Buffalo NAS, który obsługuje usługę kompatybilną z DLNA.
Alex
To mi się też zdarza - jestem za Apple Time Capsule. :(
pawstrong

Odpowiedzi:

1

Najprawdopodobniej jest to coś w linii, te 2 porty (554/7070) są przeznaczone dla prawdziwych graczy RealServers.

http://service.real.com/firewall/adminfw.html

Wyck
źródło
Zgadzam się z Tobą. Dzięki. Zrobiłem to, co zasugerował Nickgrim, i udowodniłem, że nadal mogę otworzyć port (zakładając, że żaden rootkit nie zastąpi netcat, netstat i innych powiązanych plików binarnych, aby mnie oszukać!).
Alex
BTW, jak mogę to udowodnić?
Alex
@atc: telnetdo nowo słuchającego netcati sprawdź, czy odbiera to, co piszesz na nim.
nickgrim
10

Byłbym skłonny obwiniać za to twojego ISP lub coś pomiędzy tobą a twoim serwerem. Jeśli chcesz się upewnić, że te porty są naprawdę zamknięte, możesz spróbować nasłuchiwać na tych portach, a jeśli się powiedzie, możesz bezpiecznie założyć, że nic już nie nasłuchuje. Oto, co robię na moim komputerze (który ma Apache na porcie 80 i nic na porcie 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDYCJA: Aby mieć pewność, że to naprawdę zadziałało, przejdź telnetdo innego pola i sprawdź, netcatczy otrzymujesz to, co wysyłasz (prawdopodobnie będziesz chciał zwiększyć --waitlimit czasu).

nickgrim
źródło
To udowodniło, że problem nie występuje na serwerze - skan innego hosta wykazał, że te same porty są otwarte, gdy nie były!
Alex
Chociaż to nie odpowiedziało na bezpośrednie pytanie, wyraziłem zgodę, ponieważ był to świetny sposób na sprawdzenie, czy porty były używane, czy nie. Dzięki za wkład.
Alex
7

Twój router prawdopodobnie jest winien. Zastanawiałem się, czy to jest problem z byciem na hoście OpenVZ, i znalazłem ten artykuł: Czy porty 21, 554 i 7070 są otwarte czy zamknięte? Odpowiedź brzmi tak.

Ma to dla mnie sens, ponieważ jestem obecnie na kiepskim routerze FiOS Actiontec. Każda kombinacja testów nmap i netcat na kontenerze i węźle hosta potwierdza, że ​​te porty nie są naprawdę otwarte.

lunistorvalds
źródło
1
+1 za kiepski router FiOS Actiontec . Znam prywatne klucze twojej skrzynki (podobnie jak inni dzięki Little Black Box ).
Przełączałem się zanim straciłem FiOS, ale teraz korzystam z lepszego bezpiecznego routera z moim bezprzewodowym „routerem” w trybie AP. Każdy, kto czyta ten artykuł, powinien sprawdzić ten projekt powiązany. Miły blog również :)
lunistorvalds
Tylko jedna uwaga: wciąż tak jest w przypadku Apple Airport Extreme. Sprawdziłem to podczas testowania ustawień zapory ogniowej dla instancji Amazon ec2 z mojej sieci domowej.
jlapoutre
5

Różne routery (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) z jakiegoś powodu pokazują porty 554i 7070są otwarte dla wszystkich adresów IP.

Hackerific »Fałszywe pozytywne porty TCP!

Zaz
źródło
2
+1 za doskonały link hakerski.
codingoutloud
0

Zgadzam się z nickgrim. Możesz także wypróbować lokalne skany nmap z samego pudełka

Porównaj wyniki tych:

nmap 127.0.0.1

nmap 1.2.3.4

Gdzie 1.2.3.4 to twój publiczny adres IP

portforwardpodcast
źródło
0

Może to być RTSP ALG (Application Layer Gateway) w twoim domowym hubie przechwytującym ruch i zapewniającym odpowiedź.

AndrewW
źródło
0

Czy używasz maszyny wirtualnej na gościu ESXi? Zacząłem uzyskiwać fałszywe wyniki 554/7070, kiedy przeniosłem moją maszynę wirtualną Kali Linux ze stacji roboczej do ESXi. Możesz zweryfikować opóźnienie:

nmap yourip - powód -p 7070 --traceroute

Sprawdź inną liczbę przeskoków portów 554 i 7070 z normalnymi portami ...

enrico sandri
źródło