nmap sul mio server web mostra le porte TCP 554 e 7070 aperte

11

Ho un server web che ospita vari siti Web per me. I due servizi accessibili all'esterno sono SSH e Apache2. Questi sono in esecuzione su una porta non standard e standard, rispettivamente. Tutte le altre porte vengono chiuse esplicitamente tramite arno-iptables-firewall. L'host sta eseguendo Debian Testing.

Ho notato che una scansione dell'host che utilizza nmap ha prodotto risultati diversi da diversi PC. Dal mio laptop sulla mia rete domestica (dietro un BT Homehub), ottengo quanto segue:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

mentre la scansione da un server con sede negli Stati Uniti con nmap 5.00 e un box Linux in Norvegia con nmap 5.21 ottengo quanto segue:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

quindi spero che sia la mia rete interna o ISP a giocare, ma non posso esserne sicuro.

L'esecuzione di un netstat -l | grep 7070non produce nulla. Allo stesso modo per la porta 554.

Qualcuno può spiegare le peculiarità che sto vedendo?

security debian port

— alex
fonte

Se entrambi i risultati sono delle scansioni eseguite contemporaneamente.

— pradeepchhetri,

3

Stai per caso usando un aeroporto estremo di Apple o una capsula del tempo Apple nella tua rete domestica?

— falso

Ho un NAS Buffalo che gestisce un servizio compatibile con DLNA credo.

— Alex,

Questo succede anche a me: sono dietro una Apple Time Capsule. :(

— pawstrong

1

Questo è molto probabilmente qualcosa in linea, quelle 2 porte (554/7070) sono per RealServer Realplayer.

http://service.real.com/firewall/adminfw.html

— Wyck
fonte

Sono d'accordo con te. Grazie. Ho fatto ciò che Nickgrim ha suggerito e ha dimostrato che potrei ancora aprire la porta (supponendo che nessun rootkit abbia sostituito netcat, netstat e altri binari correlati per ingannarmi!).

— Alex

A proposito, come posso dimostrare che è così?

— Alex

@atc: telnetal tuo nuovo ascolto netcate verifica che riceva ciò che scrivi.

— Nickgrim,

10

Sarei propenso a incolpare il tuo ISP o qualcosa tra te e il tuo server per questo. Se vuoi solo rassicurarti sul fatto che quelle porte sono davvero chiuse, potresti provare ad ascoltare su quelle porte e se ci riesce allora è lecito ritenere che non sia già in ascolto. Ecco cosa sto facendo sulla mia macchina (che ha Apache sulla porta 80 e niente sulla porta 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: E per essere sicuro che questo abbia davvero funzionato, telnetad esso da un'altra casella e controlla che netcatsta ricevendo ciò che invii (probabilmente vorrai aumentare il --waittimeout).

— nickgrim
fonte

Ciò ha dimostrato che il problema non si trova sul server: una scansione di un altro host ha elencato le stesse porte aperte quando non lo erano!

— Alex

Anche se questo non ha risposto alla domanda diretta, ti ho dato un voto in quanto è stato un ottimo modo per affermare se le porte sono state utilizzate o meno. Grazie per il tuo contributo.

— Alex,

7

Il tuo router è probabilmente la colpa. Mi stavo solo chiedendo se questo fosse un problema con l'essere su un host OpenVZ e ho trovato questo articolo: le porte 21, 554 e 7070 sono aperte o chiuse? La risposta è si.

Questo ha senso per me, poiché attualmente sono su un pessimo router Fitec Actiontec. Qualsiasi combinazione di test nmap e netcat sul contenitore e sul nodo host conferma che tali porte non sono realmente aperte.

— lunistorvalds
fonte

1

+1 per il rozzo FiOS Actiontec router . Conosco le chiavi private della tua scatola (così come gli altri, grazie a Little Black Box ).

Sono passato prima di perdere FiOS, ma ora utilizzo un router sicuro migliore con il mio "router" wireless in modalità AP. Chiunque legga questo articolo dovrebbe dare un'occhiata a quel progetto collegato. Bel blog anche :)

— lunistorvalds,

Solo un avvertimento: questo è ancora il caso di Apple Airport Extreme in questo momento. Ho scoperto il modo difficile durante il test delle impostazioni del firewall per l'istanza Amazon ec2 dalla mia rete domestica.

— jlapoutre,

5

Vari router diversi (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) mostrano le porte 554e sono 7070aperti per tutti gli IP per qualche motivo.

Hackerific »Porte TCP false positive!

— Zaz
fonte

2

+1 per l'eccellente collegamento Hackerific.

— codingoutloud

0

Sono d'accordo con Nickgrim. Inoltre, potresti provare le scansioni nmap locali dalla casella stessa

Confronta l'output di questi:

nmap 127.0.0.1

nmap 1.2.3.4

Dove 1.2.3.4 è il tuo IP pubblico

— portforwardpodcast
fonte

0

Potrebbe trattarsi di un RTSP ALG (Application Layer Gateway) sull'hub di casa che intercetta il traffico e fornisce una risposta.

— Andreww
fonte

0

Stai usando una VM su ESXi Guest? Ho iniziato a ottenere risultati falsi 554/7070 quando ho spostato la mia VM Kali Linux da Workstation a ESXi. Puoi verificare la latenza:

nmap yourip --reason -p 7070 --traceroute

Controlla il diverso numero di hop delle porte 554 e 7070 con porte normali ...

— Enrico Sandri
fonte