Portas e mas portas abertas
Oi pessoal blz esta uzando nmap na minha maquina encontrei uns servico que eu nao conheco e quero pedir ajuda de voces para saber mas sobre estes servico !!1 obrigado ai pessoal
Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 17:24 BRST
Interesting ports on localhost (127.0.0.1):
(The 1639 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
37/tcp open time <-- esta porta 37 utiliza o service time , pra q serve ?
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn <---
587/tcp open submission <---
631/tcp open ipp <--- esta porta 631 usando o usando o ipp serve pra q ?
767/tcp open phonebook <-- esta porta 767 esta aberta usando pho ?
779/tcp open unknown |
789/tcp open unknown |
795/tcp open unknown |
863/tcp open unknown | as porta da 779-876 esta aberta usando qual serv ?
869/tcp open unknown
876/tcp open unknown
6000/tcp open X11
Queria saber como faco para fechar esta porta e desativar este servico como ipp , submission , netbios-ssn e queria saber como faco para descobrir esta porta que estao mostrando desconhecido se alguem souber como me ajudar agradeco muito
Portas e mas portas abertas
aspenbr,
A porta: 631 é para impressão e não tem como você fechar a porta ou bloquear, se não prejudicará de alguma forma as impressões.
Portas e mas portas abertas
aspenbr,
Existe o: /etc/services que diz o nome do serviço de cada porta. Para ve-lo, utilize o editor de texto de sua preferência.
Portas e mas portas abertas
e ae
kara dei uma olhada no google e não axei pra q serve esta porta 767/tcp phonebook mas eu faço o seguinte qndo axo esse tipo de coisa toscas, use o comando fuser
[root@Kakaroto Kakaroto]# fuser -v 767/tcp
uma vez tive o mesmo problema de não saber q processo estava abrindo a porta 32770 e era o licq, passei o nmap e apareceu aberto esta porta
Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 22:58 UTC
Interesting ports on localhost (127.0.0.1):
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
32770/tcp open sometimes-rpc3
Nmap run completed -- 1 IP address (1 host up) scanned in 1.709 seconds
[root@Kakaroto Kakaroto]# fuser -v 32770/tcp
USER PID ACCESS COMMAND
32770/tcp Kakaroto 170 f.... licq
Kakaroto 173 f.... licq
Kakaroto 174 f.... licq
Kakaroto 175 f.... licq
Kakaroto 176 f.... licq
[root@Kakaroto Kakaroto]#
tipo vou de dar um exemplo com o apache
Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-02-09 22:58 UTC
Interesting ports on localhost (127.0.0.1):
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
80/tcp open http
Nmap run completed -- 1 IP address (1 host up) scanned in 1.687 seconds
startei meu apache aq e dei um nmap pra pega-lo ai fui pro fuser
[root@Kakaroto Kakaroto]# fuser -v 80/tcp
USER PID ACCESS COMMAND
80/tcp root 3313 f.... httpd
root 3314 f.... httpd
root 3315 f.... httpd
root 3316 f.... httpd
root 3317 f.... httpd
root 3318 f.... httpd
pronto vc descobre quem esta abrindo esta porta ai e so matar o safado, as vezes ele te mostra o responsavel
por abrir a porta mas vc nem sabe quem, é e nunca viu, aparece acada nome! e só com o fuser não da jeito ai eu uso outro comandinho o lsof, mas antes procura saber onde esta o daemon ou o binario q esta abrindo esta porta
mas um outro comandinho whereis
[root@Kakaroto Kakaroto]# whereis httpd
httpd: /usr/sbin/httpd /usr/libexec/httpd.exp /usr/man/man8/httpd.8.gz /usr/share/man/man8/httpd.8.gz
[root@Kakaroto Kakaroto]#
agora vc sabe onde esta o httpd sem vergonha q esta abrindo a porta 80 hehehehe o lsof mostra todos os arquivos tmp , etc q este processo criou e so usar
[root@Kakaroto Kakaroto]# lsof /usr/sbin/httpd
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
httpd 3313 root txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3314 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3315 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3316 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3317 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
httpd 3318 nobody txt REG 22,4 308364 2128890 /usr/sbin/httpd
pronto tenta usa com outros exemplo tipo o bash
[root@Kakaroto Kakaroto]# lsof /bin/sh
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 507 root txt REG 22,4 628640 556516 /bin/bash
bash 2940 Kakaroto txt REG 22,4 628640 556516 /bin/bash
startx 2951 Kakaroto txt REG 22,4 628640 556516 /bin/bash
xinitrc 2966 Kakaroto txt REG 22,4 628640 556516 /bin/bash
startkde 2968 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3193 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3205 root txt REG 22,4 628640 556516 /bin/bash
bash 3278 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3290 root txt REG 22,4 628640 556516 /bin/bash
run-mozil 3363 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3379 Kakaroto txt REG 22,4 628640 556516 /bin/bash
bash 3477 root txt REG 22,4 628640 556516 /bin/bash
[root@Kakaroto Kakaroto]#
o lsof e uma mão na roda para descobrir arquivos backdoor no seu sistema se vc usar so lsof ele te mostra todos os arquivos abertos ok, ou usa o chkrootkit
bom tenta ai e me diz quem q abre essa porta phonebook q procurei no google e não axei nada, ha e vc quer saber como fechar essas portas, depende talvez algumas aplicações q vc usa abrem certas portas e para fechar ou vc bloqueia em um firewall ou não usa mais certos aplicativos, mas um bom começo e comentar algumas linhas no /etc/inet.conf, espero ter ajudado
falow
Kakaroto