Nmap на моем веб-сервере показывает открытые порты TCP 554 и 7070

11

У меня есть веб-сервер, на котором размещены различные веб-сайты для меня. Две службы, которые доступны снаружи, это SSH и Apache2. Они работают на нестандартном и стандартном порте соответственно. Все остальные порты явно закрыты через arno-iptables-firewall. На хосте запущено тестирование Debian.

Я заметил, что сканирование хоста с использованием nmap дает разные результаты на разных компьютерах. С моего ноутбука в домашней сети (за BT Homehub) я получаю следующее:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

в то время как сканирование с американского сервера с nmap 5.00 и Linux-боксом в Норвегии под управлением nmap 5.21, я получаю следующее:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

поэтому я надеюсь, что это моя внутренняя сеть или интернет-провайдер, но я не уверен.

Запуск netstat -l | grep 7070ничего не дает. Аналогично для порта 554.

Кто-нибудь может объяснить особенности, которые я вижу?

security debian port

— Alex
источник

Являются ли оба результата сканированием, выполненным одновременно.

— Pradeepchhetri

3

Вы случайно не используете экстремальный аэропорт Apple или капсулу времени Apple в своей домашней сети?

— Факер

У меня есть NAS-устройство Buffalo, на котором работает DLNA-совместимая служба, как мне кажется.

— Alex

Это происходит и со мной - я за Apple Time Capsule. :(

— pawstrong

1

Скорее всего, это что-то в линейке, эти 2 порта (554/7070) предназначены для реальных игроков RealServers.

http://service.real.com/firewall/adminfw.html

— Уик
источник

Я согласен. Благодарю. Я сделал то, что предложил Никгрим, и это доказало, что я все еще могу открыть порт (при условии, что руткит не заменит netcat, netstat и другие связанные двоичные файлы, чтобы обмануть меня!).

— Alex

Кстати, как я могу доказать это дело?

— Alex

@atc: telnetновому слушателю netcatи убедитесь, что он получает то, что вы набираете .

— Никгрим

10

Я был бы склонен обвинить в этом вашего провайдера или что-то между вами и вашим сервером. Если вы просто хотите убедиться, что эти порты действительно закрыты, вы можете попытаться прослушать эти порты, и, если это удастся, можно предположить, что ничего не прослушивается. Вот что я делаю на своей машине (у которой Apache на порте 80 и ничего на порте 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

РЕДАКТИРОВАТЬ: И чтобы убедиться, что это действительно сработало, перейдите telnetк нему из другого ящика и проверьте, что netcatполучает то, что вы отправляете (вы, вероятно, захотите увеличить время --waitожидания).

— nickgrim
источник

Это доказывает, что проблема не на сервере - сканирование другого хоста показало те же порты, открытые, когда их не было!

— Alex

Хотя это и не ответило на прямой вопрос, я дал вам ответ, поскольку это был отличный способ установить, использовались порты или нет. Спасибо за ваш вклад.

— Алекс

7

Ваш роутер, вероятно, виноват. Мне просто было интересно, была ли это проблема с подключением к хосту OpenVZ, и нашел эту статью: порты 21, 554 и 7070 открыты или закрыты? Ответ - да.

Это имеет смысл для меня, поскольку я в настоящее время использую дрянной маршрутизатор FiOS Actiontec. Любая комбинация тестирования nmap и netcat на контейнере и хост-узле подтверждает, что эти порты действительно не открыты.

— lunistorvalds
источник

1

+1 за дерьмовый роутер FiOS Actiontec . Я знаю секретные ключи вашего ящика (как и другие, благодаря Маленькому Черному Ящику ).

Я переключился до того, как потерял FiOS, но теперь я использую более безопасный маршрутизатор с моим беспроводным «маршрутизатором» в режиме AP. Любой, кто читает эту статью, должен проверить, что этот проект связан. Хороший блог тоже :)

— lunistorvalds

Просто один на один: это все еще относится к Apple Airport Extreme прямо сейчас. Обнаружил трудный путь при тестировании настроек брандмауэра для экземпляра Amazon ec2 из моей домашней сети.

— jlapoutre

5

Различные маршрутизаторы (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) показывают порты 554и 7070почему-то открыты для всех IP-адресов.

Hackerific »Ложные положительные порты TCP!

— Zaz
источник

2

+1 за отличную хакерскую ссылку.

— codingoutloud

0

Я согласен с Никгрим. Также вы можете попробовать локальное сканирование Nmap из самой коробки

Сравните вывод этих:

nmap 127.0.0.1

Nmap 1.2.3.4

Где 1.2.3.4 ваш публичный ip

— portforwardpodcast
источник

0

Это может быть RTSP ALG (шлюз прикладного уровня) в домашнем концентраторе, перехватывающий трафик и предоставляющий ответ.

— Andreww
источник

0

Вы используете виртуальную машину на ESXi Guest? Я начал получать поддельные результаты 554/7070, когда переместил свою виртуальную машину Kali linux с рабочей станции на ESXi. Вы можете проверить задержку:

nmap yourip --reason -p 7070 --traceroute

Проверьте различное количество прыжков портов 554 и 7070 с обычными портами ...

— Энрико Сандри
источник