[HaBo]

naked_chef · 17.09.08, 09:43

Moin Moin,

ich bin gerade an einem Punkt, wo ich hoffe, dass ihr mir weiter helfen könnt.

Ich arbeite im Moment auf diversen Server und versuche sie so gut wie möglich zu dokumentieren.
Bei der Dokumentation über Dienste und Ports, bin ich mit netstat -ltn über einen offen Port gestoßen.

Der Dienst dahinter lässt sich aber nicht identifizieren.

netstat -ltnp bringt nur einen "-" als Programm.
lsof | grep <PORT> bringt auch keine Ausgabe.
Mit telnet lässt sich der Port ansprechen, aber sobald man ein Komando absetzt, wir die Session beendet.

Die Suche im Internet bringt über den Betroffenen Port auch keine Infos, da dieser auch sehr hoch angesiedelt ist - 33000.

Habt ihr noch eine Idee, wie ich diesen Dienst identifizieren könnte?

Gruß naked

**xeno** · 17.09.08, 10:12

wäre es eventuell möglich ein ps aux zu posten?

Anzeige

- Anzeige -

naked_chef · 17.09.08, 10:44

nein leider nicht, es ist ein etwas kritische server, daher geht das nicht, aber auch ps aux und ein grep auf den Port bringt nichts.

**bitmuncher** · 17.09.08, 11:30

Kannst ja mal schauen, ob es evtl. einen versteckten Prozess im System gibt, der nicht in der Taskliste auftaucht und entsprechend nicht von netstat identifiziert werden kann.

Code:

#!/bin/bash
# Das Skript testet, ob es Prozesse im System gibt, die ein
# Signal annehmen, aber nicht in /proc aufgelistet werden.
for PID in `seq 1 65535`; do
 if kill -0 ${PID} 2>/dev/null
 then
   if ls /proc/*/task/*/cmdline | grep "/${PID}/cmdline" >/dev/null
   then
     true
   else
     CMD=`cat /proc/${PID}/cmdline`
     echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
   fi
 fi
done

naked_chef · 17.09.08, 11:46

Das Skript habe ich auch schon versucht, aber bis auf ein paar ls-Fehler, nichts gescheites.

netstat erzählt mir :

Code:

tcp        0      0 0.0.0.0:36678           0.0.0.0:*               LISTEN     -

**bitmuncher** · 17.09.08, 11:51

Nimm mal 'netstat -tulpen'. Da siehst du wenigstens welcher User den Prozess laufen hat usw. Dass der Prozessname nicht angezeigt wird, habe ich aber eigentlich des öfteren bei netstat. Könnte also einfach ein Anzeigefehler von netstat sein.

naked_chef · 17.09.08, 12:51

Der Prozess wurde durch UID 0 gestartet, also root.

Das es ein Anzeigefehler sit, schließe ich aus, da eine Telnetverbindung auf den Port möglich ist.
Nur nach jeder Eingabe wird die Session getrennt.

Aspartam · 17.09.08, 16:28

Vielleicht kannst du mit nmap ein bisschen nachboren?

naked_chef · 17.09.08, 17:06

Auch nmap konnte mir nicht weiterhelfen ...

Code:

36678/tcp open  unknown

lagalopex · 17.09.08, 19:27

Du hast auch die Kommandos als root ausgeführt?

Code:

lsof | grep 36678
netstat -tulpen | grep 36678

Oder nmap mal so probiert:

Code:

nmap -P0 -p 36678 -sV --version-all localhost

naked_chef · 18.09.08, 09:14

moin moin,

lagalopex du hast es geschafft, die nmap Anfrage hat gebracht, dass es mit dem nlockmgr zusammen hängt. Danke

Anzeige

- Anzeige -

17.09.08, 09:43	#1 (permalink)
naked_chef Registriert seit: 01.09.05 Likes: 0	Dienste identifizieren Anzeige Moin Moin, ich bin gerade an einem Punkt, wo ich hoffe, dass ihr mir weiter helfen könnt. Ich arbeite im Moment auf diversen Server und versuche sie so gut wie möglich zu dokumentieren. Bei der Dokumentation über Dienste und Ports, bin ich mit netstat -ltn über einen offen Port gestoßen. Der Dienst dahinter lässt sich aber nicht identifizieren. netstat -ltnp bringt nur einen "-" als Programm. lsof \| grep <PORT> bringt auch keine Ausgabe. Mit telnet lässt sich der Port ansprechen, aber sobald man ein Komando absetzt, wir die Session beendet. Die Suche im Internet bringt über den Betroffenen Port auch keine Infos, da dieser auch sehr hoch angesiedelt ist - 33000. Habt ihr noch eine Idee, wie ich diesen Dienst identifizieren könnte? Gruß naked

17.09.08, 10:12	#2 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	wäre es eventuell möglich ein ps aux zu posten? __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

17.09.08, 11:30	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Kannst ja mal schauen, ob es evtl. einen versteckten Prozess im System gibt, der nicht in der Taskliste auftaucht und entsprechend nicht von netstat identifiziert werden kann. Code: #!/bin/bash # Das Skript testet, ob es Prozesse im System gibt, die ein # Signal annehmen, aber nicht in /proc aufgelistet werden. for PID in `seq 1 65535`; do if kill -0 ${PID} 2>/dev/null then if ls /proc//task//cmdline \| grep "/${PID}/cmdline" >/dev/null then true else CMD=`cat /proc/${PID}/cmdline` echo "PID ${PID} versteckt?! cmdline: '${CMD}'" fi fi done __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

17.09.08, 11:46	#5 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	Das Skript habe ich auch schon versucht, aber bis auf ein paar ls-Fehler, nichts gescheites. netstat erzählt mir : Code: tcp 0 0 0.0.0.0:36678 0.0.0.0:* LISTEN -

17.09.08, 11:51	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Nimm mal 'netstat -tulpen'. Da siehst du wenigstens welcher User den Prozess laufen hat usw. Dass der Prozessname nicht angezeigt wird, habe ich aber eigentlich des öfteren bei netstat. Könnte also einfach ein Anzeigefehler von netstat sein. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

17.09.08, 10:44	#3 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	nein leider nicht, es ist ein etwas kritische server, daher geht das nicht, aber auch ps aux und ein grep auf den Port bringt nichts.

17.09.08, 12:51	#7 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	Der Prozess wurde durch UID 0 gestartet, also root. Das es ein Anzeigefehler sit, schließe ich aus, da eine Telnetverbindung auf den Port möglich ist. Nur nach jeder Eingabe wird die Session getrennt.

17.09.08, 16:28	#8 (permalink)
Aspartam Registriert seit: 29.05.07 Likes: 0	Vielleicht kannst du mit nmap ein bisschen nachboren?

17.09.08, 17:06	#9 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	Auch nmap konnte mir nicht weiterhelfen ... Code: 36678/tcp open unknown

17.09.08, 19:27	#10 (permalink)
lagalopex Registriert seit: 01.11.03 Likes: 0	Du hast auch die Kommandos als root ausgeführt? Code: lsof \| grep 36678 netstat -tulpen \| grep 36678 Oder nmap mal so probiert: Code: nmap -P0 -p 36678 -sV --version-all localhost

18.09.08, 09:14	#11 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	moin moin, lagalopex du hast es geschafft, die nmap Anfrage hat gebracht, dass es mit dem nlockmgr zusammen hängt. Danke

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IP identifizieren bei Angriff	Thommylein	(In)security allgemein	8	21.04.08 15:56
Master Browser identifizieren	RonnY_230883	Network · LAN, WAN, Firewalls	4	16.09.05 11:43
hash-typ identifizieren	m0r71	(In)security allgemein	4	30.08.05 12:07
Notebook Identifizieren ?!	DLL	(In)security allgemein	2	23.02.04 09:37
CB - Dienste - Wofür siond eigentlich CB-Dienste ?	MaX109	Off topic-Zone	1	28.01.02 17:15

[HaBo]

Dienste identifizieren