Dienste identifizieren

[naked_chef]

Moin Moin,

ich bin gerade an einem Punkt, wo ich hoffe, dass ihr mir weiter helfen könnt.

Ich arbeite im Moment auf diversen Server und versuche sie so gut wie möglich zu dokumentieren.
Bei der Dokumentation über Dienste und Ports, bin ich mit netstat -ltn über einen offen Port gestoßen.

Der Dienst dahinter lässt sich aber nicht identifizieren.

netstat -ltnp bringt nur einen "-" als Programm.
lsof | grep <PORT> bringt auch keine Ausgabe.
Mit telnet lässt sich der Port ansprechen, aber sobald man ein Komando absetzt, wir die Session beendet.

Die Suche im Internet bringt über den Betroffenen Port auch keine Infos, da dieser auch sehr hoch angesiedelt ist - 33000.

Habt ihr noch eine Idee, wie ich diesen Dienst identifizieren könnte?

Gruß naked

 

[xeno]

wäre es eventuell möglich ein ps aux zu posten?

 

[naked_chef]

nein leider nicht, es ist ein etwas kritische server, daher geht das nicht, aber auch ps aux und ein grep auf den Port bringt nichts.

 

[bitmuncher]

Kannst ja mal schauen, ob es evtl. einen versteckten Prozess im System gibt, der nicht in der Taskliste auftaucht und entsprechend nicht von netstat identifiziert werden kann.

#!/bin/bash
# Das Skript testet, ob es Prozesse im System gibt, die ein
# Signal annehmen, aber nicht in /proc aufgelistet werden.
for PID in `seq 1 65535`; do
 if kill -0 ${PID} 2>/dev/null
 then
   if ls /proc/*/task/*/cmdline | grep "/${PID}/cmdline" >/dev/null
   then
     true
   else
     CMD=`cat /proc/${PID}/cmdline`
     echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
   fi
 fi
done

 

[naked_chef]

Das Skript habe ich auch schon versucht, aber bis auf ein paar ls-Fehler, nichts gescheites.

netstat erzählt mir :

tcp        0      0 0.0.0.0:36678           0.0.0.0:*               LISTEN     -

 

[bitmuncher]

Nimm mal 'netstat -tulpen'. Da siehst du wenigstens welcher User den Prozess laufen hat usw. Dass der Prozessname nicht angezeigt wird, habe ich aber eigentlich des öfteren bei netstat. Könnte also einfach ein Anzeigefehler von netstat sein.

 

[naked_chef]

Der Prozess wurde durch UID 0 gestartet, also root.

Das es ein Anzeigefehler sit, schließe ich aus, da eine Telnetverbindung auf den Port möglich ist.
Nur nach jeder Eingabe wird die Session getrennt.

 

[Aspartam]

Vielleicht kannst du mit nmap ein bisschen nachboren?

 

[naked_chef]

Auch nmap konnte mir nicht weiterhelfen ...

36678/tcp open  unknown

 

[lagalopex]

Du hast auch die Kommandos als root ausgeführt?

lsof | grep 36678
netstat -tulpen | grep 36678

Oder nmap mal so probiert:

nmap -P0 -p 36678 -sV --version-all localhost

 

[naked_chef]

moin moin,

lagalopex du hast es geschafft, die nmap Anfrage hat gebracht, dass es mit dem nlockmgr zusammen hängt. Danke