nmap mostra a porta aberta, mas o netstat não

Navegue suas respostas
5

Se eu escanear meu servidor com o nmap, isso mostra que a porta 21 está aberta. Mas quando eu faço login neste servidor e executo o netstat, não vejo nada. 

$ nmap -sT server

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-24 11:54 MSD
Interesting ports on server (x.x.x.x):
Not shown: 994 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
22/tcp   open   ssh
...

Nmap done: 1 IP address (1 host up) scanned in 7.97 seconds

$ netstat --listen --tcp --numeric

Como pode ser? Pode ser um problema de segurança?

UPD: saída tcpdump ao se conectar com o nmap 

13:13:02.982805 IP 10.19.10.2.51983 > server.ftp: S 767068541:767068541(0) win 5840 
13:13:04.096705 IP 10.19.10.2.52000 > server.ftp: S 792080356:792080356(0) win 5840 
13:13:04.131169 IP server.ftp > 10.19.10.2.52000: S 3312178661:3312178661(0) ack 792080357 win 32768 
13:13:04.131346 IP 10.19.10.2.52000 > server.ftp: . ack 1 win 46 
13:13:04.131737 IP 10.19.10.2.52000 > server.ftp: R 1:1(0) ack 1 win 46
    
por lexsys 24.06.2009 / 10:39

12 respostas

10

Você está no mesmo segmento que o servidor em questão? Portscanning via roteadores pode dar resultados falsos.

    
por 24.06.2009 / 10:50
4

Como mencionado anteriormente, estou postando aqui para reiterar; isso é comum se você estiver nmap'ing por trás de um roteador NAT. Você está executando o NMAP por trás de sua casa ADSL ou modem a cabo. Eu vejo isso o tempo todo com o meu Apple TimeCapsule. Pode causar um choque na primeira vez que você o ver:)

Andrew

    
por 24.06.2009 / 15:01
2

Do tcpdump, está mostrando claramente que alguém está respondendo. Para seus pedidos.

Você pode tentar:

  • FTP'ing diretamente para a caixa? Veja o que acontece?
  • Se você tiver um NAT no meio, ele pode estar redirecionando para outra caixa.
  • Você pode executar o tcpdump na própria máquina de destino? Veja se algum pacote está passando.

Além disso, tente nc -l tcp 21 para ver se você pode escutar na porta 21. Se você não puder e nada estiver aparecendo no netstat, você pode estar comprometido. Tente o rootcheck para ver se ele encontra alguma coisa (já que o chkrootkit não encontrou nenhum: link ).

    
por 24.06.2009 / 20:18
2

Veja esta resposta:

Desativando o FTP

    
por 14.09.2009 / 18:31
0

Estranho, tente rodar o tcpdump enquanto se conecta a ele com o nmap, que deve mostrar se o tráfego está realmente chegando à máquina.

    
por 24.06.2009 / 10:46
0

Talvez haja algum tipo de NAT nessa máquina ou em qualquer outro roteador no caminho? Verifique a saída do iptables-save (se for Linux)

    
por 24.06.2009 / 11:27
0

O seu DNS está funcionando? Tente nmapping por IP em vez de nome.

    
por 24.06.2009 / 13:24
0

Seu servidor provavelmente está infectado com um rootkit

    
por 24.06.2009 / 13:51
0

Pode ser um problema de segurança. Se o seu servidor foi rootkitted, então o kernel irá reportar o que o kernel é informado para reportar pelo rootkit e, portanto, mostraria uma discrepância com a varredura externa.

    
por 24.06.2009 / 13:54
0

Pode ser interessante ver se você pode realmente fazer o ftp para o servidor. Você pode querer usar telnet ou netcat e rfc959 para ver se você recebe alguma resposta de baixo nível que possa lhe dar uma pista para onde e o que está respondendo nessa porta.

    
por 24.06.2009 / 14:57
0

Você poderia ter algo em /etc/inetd.conf ou xinetd.conf que abriria essa porta?

    
por 24.06.2009 / 16:32
0

Tente mapear outro endereço na mesma rede que você sabe que não está sendo usado; se isso também mostrar a porta aberta, alguém está transferindo seu tráfego para outro lugar.

    
por 25.06.2009 / 09:06

Tags

Por que meu servidor está usando tanta memória? Ligue a máquina quando houver energia?