Portas e mas portas abertas

[aspenbr]

Oi pessoal blz esta uzando nmap na minha maquina encontrei uns servico que eu nao conheco e quero pedir ajuda de voces para saber mas sobre estes servico !!1 obrigado ai pessoal

Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 17:24 BRST
Interesting ports on localhost (127.0.0.1):
(The 1639 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
37/tcp open time <-- esta porta 37 utiliza o service time , pra q serve ?
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn <---
587/tcp open submission <---
631/tcp open ipp <--- esta porta 631 usando o usando o ipp serve pra q ?
767/tcp open phonebook <-- esta porta 767 esta aberta usando pho ?
779/tcp open unknown |
789/tcp open unknown |
795/tcp open unknown |
863/tcp open unknown | as porta da 779-876 esta aberta usando qual serv ?
869/tcp open unknown
876/tcp open unknown
6000/tcp open X11

Queria saber como faco para fechar esta porta e desativar este servico como ipp , submission , netbios-ssn e queria saber como faco para descobrir esta porta que estao mostrando desconhecido se alguem souber como me ajudar agradeco muito

[chvt]

aspenbr,

A porta: 631 é para impressão e não tem como você fechar a porta ou bloquear, se não prejudicará de alguma forma as impressões.

[aspenbr]

certo IPP é para impressao agora como faco para saber o q significa as porta que estao com servico desconhecido e que é phonebook ??? , mas cara valeu pela dica !! obrigadao mas minha duvida é se existe allgum material com nome dos servico no linux
obrgiado

[chvt]

aspenbr,

Existe o: /etc/services que diz o nome do serviço de cada porta. Para ve-lo, utilize o editor de texto de sua preferência.

[Kakaroto]

e ae
kara dei uma olhada no google e não axei pra q serve esta porta 767/tcp phonebook mas eu faço o seguinte qndo axo esse tipo de coisa toscas, use o comando fuser

[root@Kakaroto Kakaroto]# fuser -v 767/tcp

uma vez tive o mesmo problema de não saber q processo estava abrindo a porta 32770 e era o licq, passei o nmap e apareceu aberto esta porta

Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 22:58 UTC
Interesting ports on localhost (127.0.0.1):
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
32770/tcp open sometimes-rpc3
Nmap run completed -- 1 IP address (1 host up) scanned in 1.709 seconds

[root@Kakaroto Kakaroto]# fuser -v 32770/tcp

USER PID ACCESS COMMAND
32770/tcp Kakaroto 170 f.... licq
Kakaroto 173 f.... licq
Kakaroto 174 f.... licq
Kakaroto 175 f.... licq
Kakaroto 176 f.... licq
[root@Kakaroto Kakaroto]#


tipo vou de dar um exemplo com o apache

Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 22:58 UTC
Interesting ports on localhost (127.0.0.1):
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
80/tcp open http

Nmap run completed -- 1 IP address (1 host up) scanned in 1.687 seconds

startei meu apache aq e dei um nmap pra pega-lo ai fui pro fuser

[root@Kakaroto Kakaroto]# fuser -v 80/tcp
USER PID ACCESS COMMAND
80/tcp root 3313 f.... httpd
root 3314 f.... httpd
root 3315 f.... httpd
root 3316 f.... httpd
root 3317 f.... httpd
root 3318 f.... httpd

pronto vc descobre quem esta abrindo esta porta ai e so matar o safado, as vezes ele te mostra o responsavel
por abrir a porta mas vc nem sabe quem, é e nunca viu, aparece acada nome! e só com o fuser não da jeito ai eu uso outro comandinho o lsof, mas antes procura saber onde esta o daemon ou o binario q esta abrindo esta porta
mas um outro comandinho whereis

[root@Kakaroto Kakaroto]# whereis httpd
httpd: /usr/sbin/httpd /usr/libexec/httpd.exp /usr/man/man8/httpd.8.gz /usr/share/man/man8/httpd.8.gz
[root@Kakaroto Kakaroto]#

agora vc sabe onde esta o httpd sem vergonha q esta abrindo a porta 80 hehehehe o lsof mostra todos os arquivos tmp , etc q este processo criou e so usar

[root@Kakaroto Kakaroto]# lsof /usr/sbin/httpd
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
httpd 3313 root txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3314 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3315 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3316 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3317 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3318 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd


pronto tenta usa com outros exemplo tipo o bash

[root@Kakaroto Kakaroto]# lsof /bin/sh
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 507 root txt REG 22,4 628640 556516 /bin/bash
bash 2940 Kakaroto txt REG 22,4 628640 556516 /bin/bash
startx 2951 Kakaroto txt REG 22,4 628640 556516 /bin/bash
xinitrc 2966 Kakaroto txt REG 22,4 628640 556516 /bin/bash
startkde 2968 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3193 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3205 root txt REG 22,4 628640 556516 /bin/bash
bash 3278 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3290 root txt REG 22,4 628640 556516 /bin/bash
run-mozil 3363 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3379 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3477 root txt REG 22,4 628640 556516 /bin/bash
[root@Kakaroto Kakaroto]#


o lsof e uma mão na roda para descobrir arquivos backdoor no seu sistema se vc usar so lsof ele te mostra todos os arquivos abertos ok, ou usa o chkrootkit

bom tenta ai e me diz quem q abre essa porta phonebook q procurei no google e não axei nada, ha e vc quer saber como fechar essas portas, depende talvez algumas aplicações q vc usa abrem certas portas e para fechar ou vc bloqueia em um firewall ou não usa mais certos aplicativos, mas um bom começo e comentar algumas linhas no /etc/inet.conf, espero ter ajudado

falow
Kakaroto

[aspenbr]

valeu cara deu pra clarear as coisas

bash-2.05b# nmap localhost

Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-10 11:17 BRST
Interesting ports on localhost (127.0.0.1):
(The 1642 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
37/tcp open time
79/tcp open finger
113/tcp open auth
139/tcp open netbios-ssn
587/tcp open submission
767/tcp open phonebook
779/tcp open unknown
789/tcp open unknown
795/tcp open unknown
863/tcp open unknown
869/tcp open unknown
876/tcp open unknown
6000/tcp open X11

Nmap run completed -- 1 IP address (1 host up) scanned in 1.914 seconds
bash-2.05b# fuser -v 767/tcp

USER PID ACCESS COMMAND
767/tcp root 1010 f.... ypbind
root 1011 f.... ypbind
root 1012 f.... ypbind
root 1013 f.... ypbind

Da pra ver que esta usando o servico phone book é ypbind !!! estranho isto pq o nao mostra ypbind em vez de phone book

Estes servicos abaixos são os servico que estavam como desconhecido !!!
rpc.statd
rpc.mountd
rpc.rquotad

Obrigado ai cara

[ssk]

a porta de netbios-ssn provavelme seja pq vc está rodando um samba server

[RoninDarkTemplar]

Procurem na net.. que tem alguns sites que relacionan todas as portas conhecidas e os programas que as utiliizam...


Esta é uma informação até bem importante de se ter em um arquivo pessoal bem acessível, mas o ponto mais importante é que programas (os que interessam para seguranca, como trojans etc) podem ser configurados para usar praticamente qualquer porta...

[Fernando]

Cara, se voce der nmap em lo (localhost, 127.0.0.1) ele vai voltar tudo aberto mesmo, as regras de firewalling nao se aplicam a lo, de o nmap no seu IP externo.

cara...comenta as linhas do seu inetd que tem uns servicoes q vem habilitado por default.
depois disso vc pode ver outros servicos que estao sendo carregados na inicializacao../etc/rc.d/
e caso keira fechar a porta 6000 (x11) vc deve fazer o seguinte:
edita o seguinte arquivo /usr/X11/bin/startx

logo no comeco do arquivo vc vai achar a seguinte linha:
serverargs=""

vc acrescenta nessa linha o seguinte argumento "-nolisten tcp"
fikariaa assim:
serverargs="-nolisten tcp"