+ Responder ao Tópico



  1. #1

    Padrão Portas e mas portas abertas

    Oi pessoal blz esta uzando nmap na minha maquina encontrei uns servico que eu nao conheco e quero pedir ajuda de voces para saber mas sobre estes servico !!1 obrigado ai pessoal

    Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 17:24 BRST
    Interesting ports on localhost (127.0.0.1):
    (The 1639 ports scanned but not shown below are in state: closed)
    PORT STATE SERVICE
    22/tcp open ssh
    25/tcp open smtp
    37/tcp open time <-- esta porta 37 utiliza o service time , pra q serve ?
    79/tcp open finger
    80/tcp open http
    111/tcp open rpcbind
    113/tcp open auth
    139/tcp open netbios-ssn <---
    587/tcp open submission <---
    631/tcp open ipp <--- esta porta 631 usando o usando o ipp serve pra q ?
    767/tcp open phonebook <-- esta porta 767 esta aberta usando pho ?
    779/tcp open unknown |
    789/tcp open unknown |
    795/tcp open unknown |
    863/tcp open unknown | as porta da 779-876 esta aberta usando qual serv ?
    869/tcp open unknown
    876/tcp open unknown
    6000/tcp open X11

    Queria saber como faco para fechar esta porta e desativar este servico como ipp , submission , netbios-ssn e queria saber como faco para descobrir esta porta que estao mostrando desconhecido se alguem souber como me ajudar agradeco muito

  2. #2
    chvt
    Visitante

    Padrão Portas e mas portas abertas

    aspenbr,

    A porta: 631 é para impressão e não tem como você fechar a porta ou bloquear, se não prejudicará de alguma forma as impressões.

  3. #3

    Padrão Certo

    certo IPP é para impressao agora como faco para saber o q significa as porta que estao com servico desconhecido e que é phonebook ??? , mas cara valeu pela dica !! obrigadao mas minha duvida é se existe allgum material com nome dos servico no linux
    obrgiado

  4. #4
    chvt
    Visitante

    Padrão Portas e mas portas abertas

    aspenbr,

    Existe o: /etc/services que diz o nome do serviço de cada porta. Para ve-lo, utilize o editor de texto de sua preferência.

  5. #5
    Kakaroto
    Visitante

    Padrão Portas e mas portas abertas

    e ae
    kara dei uma olhada no google e não axei pra q serve esta porta 767/tcp phonebook mas eu faço o seguinte qndo axo esse tipo de coisa toscas, use o comando fuser

    [root@Kakaroto Kakaroto]# fuser -v 767/tcp

    uma vez tive o mesmo problema de não saber q processo estava abrindo a porta 32770 e era o licq, passei o nmap e apareceu aberto esta porta

    Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 22:58 UTC
    Interesting ports on localhost (127.0.0.1):
    (The 1656 ports scanned but not shown below are in state: closed)
    PORT STATE SERVICE
    32770/tcp open sometimes-rpc3
    Nmap run completed -- 1 IP address (1 host up) scanned in 1.709 seconds

    [root@Kakaroto Kakaroto]# fuser -v 32770/tcp

    USER PID ACCESS COMMAND
    32770/tcp Kakaroto 170 f.... licq
    Kakaroto 173 f.... licq
    Kakaroto 174 f.... licq
    Kakaroto 175 f.... licq
    Kakaroto 176 f.... licq
    [root@Kakaroto Kakaroto]#


    tipo vou de dar um exemplo com o apache

    Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 22:58 UTC
    Interesting ports on localhost (127.0.0.1):
    (The 1656 ports scanned but not shown below are in state: closed)
    PORT STATE SERVICE
    80/tcp open http

    Nmap run completed -- 1 IP address (1 host up) scanned in 1.687 seconds

    startei meu apache aq e dei um nmap pra pega-lo ai fui pro fuser

    [root@Kakaroto Kakaroto]# fuser -v 80/tcp
    USER PID ACCESS COMMAND
    80/tcp root 3313 f.... httpd
    root 3314 f.... httpd
    root 3315 f.... httpd
    root 3316 f.... httpd
    root 3317 f.... httpd
    root 3318 f.... httpd

    pronto vc descobre quem esta abrindo esta porta ai e so matar o safado, as vezes ele te mostra o responsavel
    por abrir a porta mas vc nem sabe quem, é e nunca viu, aparece acada nome! e só com o fuser não da jeito ai eu uso outro comandinho o lsof, mas antes procura saber onde esta o daemon ou o binario q esta abrindo esta porta
    mas um outro comandinho whereis

    [root@Kakaroto Kakaroto]# whereis httpd
    httpd: /usr/sbin/httpd /usr/libexec/httpd.exp /usr/man/man8/httpd.8.gz /usr/share/man/man8/httpd.8.gz
    [root@Kakaroto Kakaroto]#

    agora vc sabe onde esta o httpd sem vergonha q esta abrindo a porta 80 hehehehe o lsof mostra todos os arquivos tmp , etc q este processo criou e so usar

    [root@Kakaroto Kakaroto]# lsof /usr/sbin/httpd
    COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
    httpd 3313 root txt REG 22,4 308364 2128890 /usr/sbin/httpd
    httpd 3314 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
    httpd 3315 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
    httpd 3316 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
    httpd 3317 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
    httpd 3318 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd


    pronto tenta usa com outros exemplo tipo o bash

    [root@Kakaroto Kakaroto]# lsof /bin/sh
    COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
    bash 507 root txt REG 22,4 628640 556516 /bin/bash
    bash 2940 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    startx 2951 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    xinitrc 2966 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    startkde 2968 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    bash 3193 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    bash 3205 root txt REG 22,4 628640 556516 /bin/bash
    bash 3278 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    bash 3290 root txt REG 22,4 628640 556516 /bin/bash
    run-mozil 3363 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    bash 3379 Kakaroto txt REG 22,4 628640 556516 /bin/bash
    bash 3477 root txt REG 22,4 628640 556516 /bin/bash
    [root@Kakaroto Kakaroto]#


    o lsof e uma mão na roda para descobrir arquivos backdoor no seu sistema se vc usar so lsof ele te mostra todos os arquivos abertos ok, ou usa o chkrootkit

    bom tenta ai e me diz quem q abre essa porta phonebook q procurei no google e não axei nada, ha e vc quer saber como fechar essas portas, depende talvez algumas aplicações q vc usa abrem certas portas e para fechar ou vc bloqueia em um firewall ou não usa mais certos aplicativos, mas um bom começo e comentar algumas linhas no /etc/inet.conf, espero ter ajudado

    falow
    Kakaroto

  6. #6

    Padrão Valeu

    valeu cara deu pra clarear as coisas

    bash-2.05b# nmap localhost

    Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-10 11:17 BRST
    Interesting ports on localhost (127.0.0.1):
    (The 1642 ports scanned but not shown below are in state: closed)
    PORT STATE SERVICE
    22/tcp open ssh
    25/tcp open smtp
    37/tcp open time
    79/tcp open finger
    113/tcp open auth
    139/tcp open netbios-ssn
    587/tcp open submission
    767/tcp open phonebook
    779/tcp open unknown
    789/tcp open unknown
    795/tcp open unknown
    863/tcp open unknown
    869/tcp open unknown
    876/tcp open unknown
    6000/tcp open X11

    Nmap run completed -- 1 IP address (1 host up) scanned in 1.914 seconds
    bash-2.05b# fuser -v 767/tcp

    USER PID ACCESS COMMAND
    767/tcp root 1010 f.... ypbind
    root 1011 f.... ypbind
    root 1012 f.... ypbind
    root 1013 f.... ypbind

    Da pra ver que esta usando o servico phone book é ypbind !!! estranho isto pq o nao mostra ypbind em vez de phone book

    Estes servicos abaixos são os servico que estavam como desconhecido !!!
    rpc.statd
    rpc.mountd
    rpc.rquotad

    Obrigado ai cara

  7. #7
    ssk
    Visitante

    Padrão samba

    a porta de netbios-ssn provavelme seja pq vc está rodando um samba server

  8. #8

    Padrão portas

    Procurem na net.. que tem alguns sites que relacionan todas as portas conhecidas e os programas que as utiliizam...


    Esta é uma informação até bem importante de se ter em um arquivo pessoal bem acessível, mas o ponto mais importante é que programas (os que interessam para seguranca, como trojans etc) podem ser configurados para usar praticamente qualquer porta...

  9. #9
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Portas e mas portas abertas

    Cara, se voce der nmap em lo (localhost, 127.0.0.1) ele vai voltar tudo aberto mesmo, as regras de firewalling nao se aplicam a lo, de o nmap no seu IP externo.

  10. #10
    Visitante

    Padrão Portas e mas portas abertas

    cara...comenta as linhas do seu inetd que tem uns servicoes q vem habilitado por default.
    depois disso vc pode ver outros servicos que estao sendo carregados na inicializacao../etc/rc.d/
    e caso keira fechar a porta 6000 (x11) vc deve fazer o seguinte:
    edita o seguinte arquivo /usr/X11/bin/startx

    logo no comeco do arquivo vc vai achar a seguinte linha:
    serverargs=""

    vc acrescenta nessa linha o seguinte argumento "-nolisten tcp"
    fikariaa assim:
    serverargs="-nolisten tcp"