Springender Port

  • Themenstarter Themenstarter sw33tlull4by
  • Beginndatum Beginndatum
S

sw33tlull4by

Guest
Hi!
Folgendes Problem:
Als ich mal netstat -l eingegeben habe sind mir ein paar Ports ins Auge gefallen.
Ich habe fast alle schliessen koennen, aber zu einem finde ich irgendwie nichts.
Er steht nicht in der /etc/services
service --status-all|grep running
gibs aus:
atd (pid 2048) is running...
auditd (pid 1728) is running...
automount (pid 1903) is running...
Avahi daemon is not running
Avahi DNS daemon is not running
console-kit-daemon (pid 1922) is running...
crond (pid 1994) is running...
dhcdbd (pid 2064) is running...
hald (pid 2075) is running...
mcstransd (pid 1786) is running...
dbus-daemon (pid 2426 1844) is running...
pcscd (pid 1883) is running...
restorecond (pid 1745) is running...
rpc.idmapd (pid 1825) is running...
setroubleshootd (pid 1799) is running...
smartd (pid 2202) is running...
syslogd (pid 1756) is running...
klogd (pid 1759) is running...
tor apparently not running (no pid file)
xfs (pid 2027) is running...
Zum Vergrößern anklicken....

Und das wirklich tolles ist:
Er srpingt immer rum.
z.Z. hat der die Portnummer 41261
Das einzige was immer gleich bleibt ist das er UDP verwendet.
Ich habe keine Cron-jobs oder dergleiche laufen, nichts offen ausser meinem Browser und alle Hintergrunddienste sogut es geht minimiert.
nmap kennt den Service nicht und bei scroogle werde ich auch nicht fuendig.
mfg

sw33t
 
Was sagt 'netstat -lnpa'? Lässt sich damit auch kein Programm zuordnen?
 
und welchen dienst von denen meinst du nun?

ggf hilft auch lsof -i | grep <port> oder <PID>
 
Das ist total komisch, nachdem eure Befehle nichts ergeben hat habe ich nochmal nmap angeworfen.
Der Port hatte sich geaendert.
Also das gleiche nochmal und wieder nichts, bei beiden befehlen.
netstat -lnpa ergibt nichts aussergewoehnliches ausser dsa ein Time_wait bei Internet da ist und das ist wahrscheinlich mein Browser bzw die Seiten welche auf weitere angaben warten.
Bei lsof weiss ich nicht nach welchen Dateien ich suchen soll, und ihr habt mit Sicherheit besseres zu tun.
Darauf habe ich mal wireshark angeworfen, aber abgesehen von einer lustigen Netsend nachricht, welche sagt das meine Registry defekt ist und das ich unbedingt was runterladen soll gab esnichts, ausser 5 verschiedene Ip´s aus allen moeglichen Teilen der Welt, welche ueber UDP auf ports zugreifen, hat schon fast was von Filesharing aber ich habe ja noch nicht einmal einen Client installiert geschweige denn am laufen, und der benutzt mit Sicherheit eher TCP/IP
Was mich aber immer noch verwundert ist das nur ein einziger Port in UDP offen ist, in TCP gar keiner und das er jedesmal wenn ich ihn anschaue er seine Position wechselt,was das finden mit lsof|grep und netstat schwierig machen duerfte.
Irgendwelche anderen Moeglichkeiten, sonst muss ich mich durch die logs wuehlen.
Gut nur das Ich auf diesem System keine sensibelen Daten habe.
Das einzige was ich noch zusaetzlich installiert hatte war Firefox,addons:Foxyproxy(aus)Addblocker,NOscript,UserAgentSwitch und ein Colertheme, VLC(fehlgeschlagen),mplayer und DrScheme.
mfg

sw33t

P.s.:@Gulliver
Es geht nicht um die die Ich sehe. ;)
Es geht um den den Ich nicht sehe/finde, weil dieser Port kann weiss was ich was machen.
 
Vielleicht hilft es ja, wenn du mit iptables alles dicht machst, nur das öffnest was du auch haben willst, den rest loggen lässt und da nachschaust.
 
Du bist gut:
Wie soll ich etwas in den iptabels verbieten, wenn ich nicht den Port festlegen kann, und nicht weiss was das fuer ein Prozess ist?
Koennte alle UDP-verbindungen untersagen aber das waere nur letztes Mittel.
Wegen den Logs:
Gibt es da noch andere ausser in /var/log welche ich durchsehen sollte?
MFG

sw33t
 
Hat funktioniert, meinpC ist nun so tot wie eine Marionette^^.
Gibt nur noch das nach aussen was er soll.
thx4support
mfg

sw33t
 
Als kleine Ergänzung: Wenn man einen Linux-Rechner nach aussen komplett dicht machen will, kann man folgendes Skript in /etc/init.d/ ablegen (Name ist egal) und mit einem Runlevel-Editor wie rcconf, ksysvinit u.ä. aktivieren:

Code: 
#!/bin/bash

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/sbin/iptables # HIER den PFAD GGF. ANPASSEN!

case "$1" in
start)
	# alle alten Regeln entfernen
	echo "Loesche alte Regeln"
	$IPTABLES -F
	$IPTABLES -X
	$IPTABLES -t nat -F

	### ERSTELLE NEUE KETTEN ###
	# Kette zum loggen von verworfenen Paketen
	$IPTABLES -N LOGREJECT 
	$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
          --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 
	$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
	
	### PROC MANIPULATION ###
	# auf Broadcast-Pings nicht antworten
	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
	# halt die Klappe bei komischen ICMP Nachrichten
	echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
	# Kicke den ganzen IP Spoofing Shit
	# (Source-Validierung anschalten)
	echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
	# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
	echo 61 > /proc/sys/net/ipv4/ip_default_ttl
	# sende RST-Pakete wenn der Buffer voll ist
	echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
	# warte max. 30 secs auf ein FIN/ACK
	echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
	# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
	# Default ist 6
	echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
	# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
	# Default ist 6
	echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
	
	### MAIN PART ###
	$IPTABLES -P INPUT DROP
	$IPTABLES -P FORWARD DROP
	$IPTABLES -P OUTPUT ACCEPT
	$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	# im Loopback koennen wir jedem trauen 
	$IPTABLES -A INPUT -i lo -j ACCEPT
	# ebenso im LAN
	$IPTABLES -A INPUT -i <netzwerk-device-zum-lan> -j ACCEPT
	# erlaube Pings
	$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

	# Alle TCP Packete, die bis hier hin kommen, werden 
        # geloggt und rejected 
        # Der Rest wird eh per Default Policy gedroppt... 
	$IPTABLES -A INPUT -p tcp -j LOGREJECT 
	$IPTABLES -A FORWARD -p tcp -j LOGREJECT
	;;
*)
	echo "Usage: `basename $0` {start}" >&2
	exit 64
	;;
esac

exit 0

Will man bestimmte Ports freigeben, geht das mit dem Eintrag folgender Zeile im Skript (vor den LOGREJECT-Regeln):

Code: 
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport <portnummer> -j ACCEPT
'<portnummer>' muss natürlich entsprechend ersetzt werden und 'tcp' ggf. durch 'udp' ersetzt werden, wenn man nur UDP zulassen will.
 
Spitze, werde mir das Skript bei Geöegenheit naeher anschauen.

mfg

sw33t
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben