monateng
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Hi, eben habe ich einen 'nmap localhost' auf meinem Server ausgeführt und bin erschrocken über den oben stehenden Eintrag. Meine ersten Fragen waren, wo kommt dieser Eintrag her und was verbirgt sich dahinter? Leider beschreibt Google bei egal welcher Anfrage verschiedene Dienste die sich dahinter verstecken können.
Ich kenne meine Dienst (dachte ich zumindest) die auf meinem Server ausgeführt werden. Wie kann ich also den Port noch besser als mit nmap überwachen und herausbekommen welcher Dienst/Programm sich dahinter verbirgt?
Moderiert von encbladexp: Thema in das richtige Forum "Sicherheit" verschoben, bitte beachte die als Wichtig markierten Themen ("Welche Themen gehören hier her und welche nicht?"), Danke.
|
Lunar
Anmeldungsdatum: 17. März 2006
Beiträge: 5792
|
Es ist zwar lobenswert, dass du das wichtige gleich im Titel sagst, aber im Text hättest du die Ausgabe von netstat auch noch mal unverändert pasten können. Das wäre besser zu lesen gewesen 😉 rpcbind gehört meines Wissens zum NFS Server und übernimmt die Behandlung der RPC-Aufrufe.
|
monateng
(Themenstarter)
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Danke Lunar, nur warum habe ich auf einmal einen NFS-Server? Woran könnte ich Prüfen ob es sich hierbei um den NFS handelt? Achso bevor ich es vergesse hier einmal die Ausgabe von nmap wie gewünscht:
nmap localhost
Starting Nmap 4.62 ( http://nmap.org ) at 2009-06-03 16:01 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 1699 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
685/tcp open unknown
953/tcp open rndc
3306/tcp open mysql
7070/tcp open realserver
|
Lunar
Anmeldungsdatum: 17. März 2006
Beiträge: 5792
|
Führe mal sudo netstat -tulpen auf der Server aus, dass zeigt dir, welcher Prozess zum entsprechenden Dienst gehört. Vor allem zeigt es dir auch, welcher Dienst wirklich auf externen Schnittstellen lauscht, Dienste, die nur auf 127.0.0.1 lauschen, sind kein Grund zur Besorgnis.
|
monateng
(Themenstarter)
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Hi Lunar, das kommt dabei heraus. Nur warum portmap http://de.wikipedia.org/wiki/Portmapper. Ich kann mir kein Programm/Dienst dahinter vorstellen. tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 4598 2051/portmap
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Den Portmapper braucht man nicht nur auf einem NFS-Server, sondern auch auf dem Client. Wenn du also mal das Paket nfs-common installiert hast, hat das den Portmapper als Abhängigkeit gezogen. Wenn dein Rechner tatsächlich nur als NFS-Client läuft, kannst du den Portmapper allerdings an die Loopback-Schnittstelle binden, so dass er von außen nicht erreichbar ist. Dazu einfach folgendes in die Datei /etc/default/portmap eintragen und den Daemon neu starten:
OPTIONS="-i 127.0.0.1"
|
monateng
(Themenstarter)
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Danke otzenpunk, für deinen Hinweis. Dieser Server ist weder als NFS-Client noch als NFS-Server gedacht. Ich setze NFS nicht einmal lokal ein. Ich muss halt nochmals Prüfen wie dieser portmapper auf das System gekommen ist. Unten habe ich einmal via aptitude nach nfs geschaut. Leider ist keiner der Einträge Installiert und somit lauffähig auf dem Server. Das erraten der Key-Files halte ich auch für denkbar unwarscheinlich, aber möglich. Wie genau kann man nun die Arbeitsweise eines Portmappers nachvollziehen bzw. schauen von wem dieser gestartet wurde oder auch von wo? ~# aptitude search nfs
p fai-nfsroot - Fully Automatic Installation nfsroot packa
p funionfs - user-space directory concatenation
p funionfs-dbg - Verbindung von Verzeichnissen, Userspace-P
p kernel-patch-nfs-ngroups - Client-side bypassing of ngroups limitatio
v knfs -
p libfile-nfslock-perl - perl module to do NFS (or not) locking
p libnfsidmap-dev - header files and docs for libnfsidmap
p libnfsidmap2 - Eine Bibliothek zur Abbildung von NFS-IDs
p libroxen-tokenfs - Token Dateisystem Modul für den Roxen Chal
p libyanfs-java - Yet Another NFS - a Java NFS library
v nfs-client -
p nfs-common - NFS-Dateien, die von Client und Server ben
p nfs-kernel-server - Unterstützung für den NFS-Kernel-Server
v nfs-server -
p nfs-user-server - User space NFS server
p nfsboot - Erlaubt Client über das Netzwerk zu booten
p nfsbooted - Bereitet Ihr Boot-Abbild für Netzwerk-Boot
p p3nfs - to mount the file systems on the Psion/Sym
p unfs3 - User-space NFSv3 Server
p unionfs-fuse - Fuse implementation of unionfs
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Der Portmapper ist eine Art Adressverzeichnis für die Sun-RPC-Dienste, die man für NFS, NIS und ein paar andere, größtenteils veraltete Dienste benötigt. Diese öffnen nicht immer denselben Port, so dass der Client nicht weiß, wohin er sich verbinden soll. Deswegen fragt er beim Portmapper nach, der sich immer auf Port 111 befindet. Wie der auf deinen Rechner kommt, weiß ich nicht. Bei Ubuntu ist er standardmäßig nicht installiert, im Gegensatz zu vergangenen Debian-Versionen. Du kannst ja einfach mal versuchen ihn zu deinstallieren, und dir anschauen ob da irgendwelche Pakete mit zur Entfernung vorgesehen werden, die du lieber behalten würdest.
|
monateng
(Themenstarter)
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Danke otzenpunk, für deine HErklärung. portmap hängt bei mir mit fam zusammen. Fam ist:
aptitude search fam
i A fam - Dateiveränderungsüberwachungsprogramm Ich erinnere mich an beide Pakete nicht. Ich setze den Server in einer Virtuellen-Umgebung neu auf und schaue mir alle Pakete nochmals genau an. Melde mich also wegen der abhängigkeiten nochmals zurück.
|
monateng
(Themenstarter)
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Das System ist ausgetauscht es war ein Trojaner. Wie kann ich mir das Programm was hinter einem offenen Port lauscht ausgeben lassen? Ich meine man muss es ja unter Linux leichter haben als den 'Taskmanager' aufzurufen und dort nur die Hälfte zu sehen, oder?
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
monateng schrieb: Das System ist ausgetauscht es war ein Trojaner.
Na, wenn du das so genau weißt, würde mich mal interessieren was für einer, und wo der her kam.
Wie kann ich mir das Programm was hinter einem offenen Port lauscht ausgeben lassen?
sudo netstat -tulpen
|
monateng
(Themenstarter)
Anmeldungsdatum: 19. April 2007
Beiträge: 1055
Wohnort: Wellerode
|
Danke otzenpunk, deine hier beschriebene Lösung hat mich bei einer aktuellen Suche weitergebracht. Funktioniert also, super noch einmal und Dank für die Antwort.
Gruß
monateng
|
rarspace01
Anmeldungsdatum: 28. April 2009
Beiträge: 1
|
otzenpunk schrieb: erreichbar ist. Dazu einfach folgendes in die Datei /etc/default/portmap eintragen und den Daemon neu starten:
OPTIONS="-i 127.0.0.1"
Danke, genau das hat geholfen ☺
|
MOV
Anmeldungsdatum: 2. Januar 2009
Beiträge: 10
|
Ich habe unter kubuntu 13.04 folgenden Port offen:
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 10302 971/rpcbind
Wie schließe ich den ohne den Workaround einer Firewall? Habe kein nfs-common installiert.
und /etc/default/portmap gibt es auch nicht.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
MOV schrieb: Habe kein nfs-common installiert.
Wie ist die Ausgabe für:
rpcinfo -p <Rechnername>
?
|