Слушается порт, которого НЕТ!, qq, 08-Сен-05, 15:29 [смотреть все]Ситуация такая. В нете сидит сервак под Linux-ом. # uname -a Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 unknown unknown GNU/Linux Естественно фунциклирует iptables. Сервак используется как DNS и WEB. посему на нем открыты только 53 порт для UDP и 22,80 для TCP. На все остальное DROP. Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я получил отчет о том, что у меня слушается 110 порт, и более того, на нем сидит сфот с потенциальной дыркой... telnet ns.myserver.ru 110 подключается, а потом отваливается по таймауту. # netsat -nap | grep tcp | grep 110 выдает пустую строку. т.е. активного сервиса нет. как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится удаленно и к ней нет никакого доступа). Но, никакой посторонней активности я не обнаружил. более того, даже несмотря на то, что у меня и так стоит политика DROP, я прописал отдельно правило для того, чтобы все пакеты приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил правило, чтобы все соединения на 110 порт логировались (но увы и ах, это тоже не дало никакой информации). Внимание вопрос... ЧТО ЭТО МОЖЕТ БЫТЬ? |
- Слушается порт, которого НЕТ!, Moralez, 13:19 , 10-Сен-05 (1)
например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик и если нет, то забить....p.s. ns.myserver.ru и myserver.ru - один комп?
- Слушается порт, которого НЕТ!, qq_2, 08:16 , 12-Сен-05 (3)
>например у провайдера редирект стоит (криво настроен). проверить tcpdump-ом, если ли трафик >и если нет, то забить.... > >p.s. ns.myserver.ru и myserver.ru - один комп? по поводу ника я его тоже использую очень давно, но раз уж я сюда пришел позже, буду зваться qq_#2 :) теперь по теме, tcpdump поставить не получится, поскольку сервак боевой, без средств компиляции и установки. Обновления конечно производятся, но вот установка совершенно нового софта не преведствуется политикой и инструкциями безопасности. теперь по делу, проверил несколько linux-машин, на всех идет коннект на 110 порт, даже если его, порта, нет. т.о. - это должно быть какая-то стандартная проблема. о том, что на 110 порт попытки произвести соединения были - об этом говорится в логах (перед дропом в правилах было создано правило -j LOG). Sep 9 15:27:41 isa kernel: POP3IN=eth0 OUT= MAC=00:e0:7d:e6:55:ad:00:30:85:65:98:80:08:00 SRC=ХХХ.ХХХ.ХХХ.ХХХ DST=ХХХ.ХХХ.ХХХ.ХХХ LEN=48 TOS=0x00 PREC=0x00 TTL=196 ID=25996 DF PROTO=TCP SPT=22716 DPT=110 WINDOW=8760 RES=0x00 SYN URGP=0
- Слушается порт, которого НЕТ!, qq, 18:59 , 10-Сен-05 (2)
как уже правильно сказали, смотри что происходит tcpdump-ом.по поводу ника - прошу ник qq не использовать тут, т.к. его использую я уже давно.
- Слушается порт, которого НЕТ!, Vanger13, 08:21 , 12-Сен-05 (4)
>Ситуация такая. В нете сидит сервак под Linux-ом. > ># uname -a >Linux isa 2.6.11.8 #1 SMP Thu May 12 18:13:27 ALMST 2005 i686 >unknown unknown GNU/Linux > >Естественно фунциклирует iptables. Сервак используется как DNS и WEB. >посему на нем открыты только 53 порт для UDP и 22,80 для >TCP. На все остальное DROP. > >Но вот тут возникла проблема. при сканировании сервака (Retina, XSpider, GFI) я >получил отчет о том, что у меня слушается 110 порт, и >более того, на нем сидит сфот с потенциальной дыркой... > >telnet ns.myserver.ru 110 >подключается, а потом отваливается по таймауту. > ># netsat -nap | grep tcp | grep 110 >выдает пустую строку. т.е. активного сервиса нет. > >как только я обнаружил эту лабудень сразу поставил систему контроля целостности (при >чем таким образом, что база с контрольными суммами, датами создания/доступа/модификации хранится >удаленно и к ней нет никакого доступа). Но, никакой посторонней активности >я не обнаружил. > >более того, даже несмотря на то, что у меня и так стоит >политика DROP, я прописал отдельно правило для того, чтобы все пакеты >приходящие на 110 порт ДРОПились. Кроме этого, перед этим правилом поставил >правило, чтобы все соединения на 110 порт логировались (но увы и >ах, это тоже не дало никакой информации). > >Внимание вопрос... >ЧТО ЭТО МОЖЕТ БЫТЬ? У меня был подобный перепуг, но всё оказалось очень просто :) на той машине, с которой запускали сканеры, случайно не стоит антивирус с возможностью проверки исходящей/входящей почты?
- Слушается порт, которого НЕТ!, qq_2, 08:41 , 12-Сен-05 (5)
>У меня был подобный перепуг, но всё оказалось очень просто :) >на той машине, с которой запускали сканеры, случайно не стоит антивирус с >возможностью проверки исходящей/входящей почты? случайно стоит... :D СПС. даже не подумал бы. В общем при подключении с машины на которой нат AV, никакого соединения нету. Блин, как все просто оказалось-то.
|