Port 644?

Post Reply
Message
Author
User avatar
stef2707
Posts: 9
Joined: 24. Sep 2006 18:04
Location: Raum Düsseldorf

Port 644?

#1 Post by stef2707 »

Hallo!

Welcher Dienst hängt an Port 644? /etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.

Gruss,
Stefan
Debian GNU/Linux 3.1
SuSE Linux 9.3

sumsi

suchmaschine: drw

#2 Post by sumsi »

Ja, mal ironisch: Vertraust Du eigentlich Google Dein Leben an?

Versuch#s doch mal mit etwas, was auch ergenisse bringt: Altavista, Ask
Und für Faule metacrawler.de
Da wird was vom Dienst drw ausgespuckt - was immer das ist.
Und bestimmt kann man auch jede 2. Anwendung dazu bringen, diesen port zu nehem.

http://www.infobot.org/factpacks/ports.fact
http://www.auditmypc.com/port/tcp-port-644.asp

have fun
sumsi

PDA

#3 Post by PDA »

Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht.

Nmap fragen und was man nicht braucht, raus damit.

Marco Gerber
Posts: 38
Joined: 26. Aug 2006 13:07
Location: Zürich

Re: Port 644?

#4 Post by Marco Gerber »

Guten Tag
stef2707 wrote:Hallo!

Welcher Dienst hängt an Port 644?
Die Zuweisung der Portnummer zu einem namentlich genannten Dienst stellt lediglich eine Empfehlung dar, an welche man sich nicht halten muss.
Ergo kann auf Port 644 jede beliebige Anwendung laufen (muss root Rechte in diesem Bereich haben).
Um eine genauere Einschraenkung zu machen musst du eine Banner Auswertung machen. Dh du verbindest dich einfach mal zu dieser Maschine an diesen Port und schaust was zurueck kommt. Vielleicht kommt etwas, vielleicht auch nicht.
stef2707 wrote: /etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.
Es existiert kein Zusammenhang zwischen Ports im listen mode und der Datei /etc/services


hth

Marco

User avatar
stef2707
Posts: 9
Joined: 24. Sep 2006 18:04
Location: Raum Düsseldorf

#5 Post by stef2707 »

Hallo!
PDA wrote:Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht. Nmap fragen und was man nicht braucht, raus damit.
Nmap "sagt" folgendes:

Code: Select all

ctde02:/# nmap  -sS 10.130.109.10

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-09-27 17:08 CEST
Interesting ports on ctde02.lfeld.********.de (10.130.109.10):
(The 1653 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
515/tcp  open  printer
548/tcp  open  afpovertcp
631/tcp  open  ipp
644/tcp  open  unknown
4559/tcp open  hylafax

Nmap finished: 1 IP address (1 host up) scanned in 0.375 seconds
Eine "richtige" :!: Internetsuchmaschine bringt, wie oben schon beschrieben (Danke @ sumsi), folgendes Ergebnis: tcp/udp 644 = dwr. Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.

Gruss,
Stefan
Debian GNU/Linux 3.1
SuSE Linux 9.3

Marco Gerber
Posts: 38
Joined: 26. Aug 2006 13:07
Location: Zürich

#6 Post by Marco Gerber »

halllo
stef2707 wrote:Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.
Ich sage es gerne noch einmal: Eine Portnummer ist wahlfrei Anwendungen zuzuordnen. Wenn du lokalen Zugriff auf das System hast, findest du mit netstat -p heraus, welcher Prozess diesen Port reserviert hat.

Und zu dem mit Bastille:
Zitat: "du solltest, wenn es um Themen der Sicherheit geht, nicht mit Werkzeugen arbeiten, von welchen du nicht weisst wie sie funktionieren und oder was sie generieren, und das generierte nicht interpretieren kannst."

Marco

Clio
Posts: 122
Joined: 17. Sep 2004 12:49
Location: Bochum

#7 Post by Clio »

Eine gute Übersicht findest Du hier:

http://www.iana.org/assignments/port-numbers

Ansonsten hat M.Gerber schon recht.
Viele Grüße von Clio

User avatar
Lateralus
prolinux-forum-admin
Posts: 1238
Joined: 05. May 2004 7:35

#8 Post by Lateralus »

Ein "nmap -sV" untersucht genauer, welche Anwendung darauf läuft.

User avatar
jochen
prolinux-forum-admin
Posts: 699
Joined: 14. Jan 2000 15:37
Location: Jülich
Contact:

#9 Post by jochen »

Aus der Kombi Prompt/Rechnername in Deinem nmap-Beispiel gehe ich mal davon aus, dass Du Deinen eigenen Rechner scanst, an dem Du gerade angemeldet bist. Da nmap Dir (wie ausführlich erläutert) nur anzeigen kann, welche Ports offen sind und was dort laufen müsste, solltest Du in diesem Fall zu netstat greifen:

Code: Select all

netstat -lpnut | grep ":644 "
netstat zeigt nur offene (-l) TCP- und UDP-Ports (-ut) inkl. der PID und Namen des Prozesses, der den Port geöffnet hält (-p). Mittels -n unterdrücken wir die Namensauflösung (sowohl Rechner- als auch Portnamen), damit wir im folgenden ein grep nach der Portnummer 644 (durch ":" von der IP-Adresse getrennt) machen können. Hat man die PID, kann man sich mittels

Code: Select all

ps -p <PID> -o pid,args --cols=1000
mehr zum laufenden Prozess anzeigen lassen. Wer wissen will, aus welchem Package das Programm stammt, kann mittels

Code: Select all

ls -l /proc/<PID>/exe
den vollen Pfadnamen des Binaries auf der Platte erhalten und dann mittels rpm/dpkg-query das dazugehörige Package inkl. Dokumentation ausfindig machen usw. usf.

Übrigens, wenn netstat zu diesem Port keine Ausgabe macht, sollten die Alarmglocken angehen! Ein Port, der aus außen her geöffnet ist, von innen aber nicht als offen gesehen werden kann, weist schwer auf ein Rootkit hin...

Jochen
Die grösste Lüge der EDV? "Mal eben..."

Post Reply