Portas inesperadas abertas (filtragem de tráfego?)

1

Descobri isso ao proteger meu VPS. Não importa qual host eu escaneie com o nmap, sempre consigo essas duas portas abertas:

1863/tcp open  unknown
5190/tcp open  aol

Quais poderiam ser as razões para isso?

EDITAR: Estou realizando uma verificação simples do nmap host.name em servidores de todo o mundo (digamos, o habrahabr.ru obviamente tem apenas 80 portas abertas). Em relação ao meu VPS, netstat -tulpn mostra que não há nada escutando nessas portas. Além disso, o iptables descarta tudo, exceto por 80 & portas ssh.

    
por yanchenko 01.09.2009 / 10:56

3 respostas

1

Um pequeno truque que aprendi é usar o lsof para descobrir qual binário tem uma porta aberta. Se netstat -tap não ajudar, tente isto:

lsof -i tcp:1863
lsof -i tcp:5190

Verifique se o pacote lsof está instalado se você receber um erro 'comando não encontrado'. Meu único outro pensamento é que, às vezes, os firewalls têm detecção de varredura de porta, eles podem abrir portas aleatórias para que, se alguém os atingir enquanto faz uma varredura, possa detectar essa varredura de portas. Nada realmente os usa, eles são usados apenas para esse propósito.

    
por 01.09.2009 / 15:12
2

Quando você diz "não importa qual host eu escaneie", você está escaneando seus próprios hosts ou servidores externos? Você poderia incluir alguns exemplos de comandos nmap que você executou para obter resultados em sua pergunta, para tornar isso mais claro?

Se todos os hosts externos estiverem mostrando essas portas como abertas, é provável que o seu provedor VPS esteja redirecionando essas portas de forma transparente, de modo que as conexões com qualquer host externo de qualquer um de seus clientes VPS seus servidores (que tem as portas abertas para registro). Não é incomum que os hosts tenham "nenhum IRC" e regras semelhantes, e o redirecionamento de tráfego em portas comuns para os protocolos banidos seria uma boa maneira de aplicar essa regra (e máquinas de log que tentam usar os protocolos, como aqueles que foram invadidos e ingressados em uma botnet). Claro, também pode ser algo na configuração da sua VM que está redirecionando o tráfego, mas isso é menos provável (você saberia se você tivesse feito isso, e eu não consigo pensar em uma razão pela qual o código malicioso / as pessoas gostariam de ajuste as coisas dessa maneira pelas suas costas).

Se todos os seus hosts / endereços tiverem as portas abertas, é uma chaleira diferente, e a sugestão de Mark de netstat -tap para ver se há processos específicos em suas máquinas ativamente escutar nessas portas é sua próxima etapa de diagnóstico.

    
por 01.09.2009 / 11:10
1

Editar: interprete mal sua pergunta original, mas ainda assim isso pode diagnosticar se algo estiver acontecendo.

No servidor, execute

sudo netstat -tap

que deve informar quais programas estão listando nessas portas.

    
por 01.09.2009 / 10:58