Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Port 644?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
stef2707



Anmeldungsdatum: 24.09.2006
Beiträge: 9
Wohnort: Raum Düsseldorf

BeitragVerfasst am: 27. Sep 2006 15:22   Titel: Port 644?

Hallo!

Welcher Dienst hängt an Port 644? /etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.

Gruss,
Stefan
_________________
Debian GNU/Linux 3.1
SuSE Linux 9.3
 
Benutzer-Profile anzeigen Private Nachricht senden

sumsi
Gast





BeitragVerfasst am: 27. Sep 2006 15:59   Titel: suchmaschine: drw

Ja, mal ironisch: Vertraust Du eigentlich Google Dein Leben an?

Versuch#s doch mal mit etwas, was auch ergenisse bringt: Altavista, Ask
Und für Faule metacrawler.de
Da wird was vom Dienst drw ausgespuckt - was immer das ist.
Und bestimmt kann man auch jede 2. Anwendung dazu bringen, diesen port zu nehem.

http://www.infobot.org/factpacks/ports.fact
http://www.auditmypc.com/port/tcp-port-644.asp

have fun
sumsi
 

PDA
Gast





BeitragVerfasst am: 27. Sep 2006 16:02   Titel:

Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht.

Nmap fragen und was man nicht braucht, raus damit.
 

Marco Gerber



Anmeldungsdatum: 26.08.2006
Beiträge: 38
Wohnort: Zürich

BeitragVerfasst am: 27. Sep 2006 16:11   Titel: Re: Port 644?

Guten Tag

stef2707 hat folgendes geschrieben::
Hallo!

Welcher Dienst hängt an Port 644?


Die Zuweisung der Portnummer zu einem namentlich genannten Dienst stellt lediglich eine Empfehlung dar, an welche man sich nicht halten muss.
Ergo kann auf Port 644 jede beliebige Anwendung laufen (muss root Rechte in diesem Bereich haben).
Um eine genauere Einschraenkung zu machen musst du eine Banner Auswertung machen. Dh du verbindest dich einfach mal zu dieser Maschine an diesen Port und schaust was zurueck kommt. Vielleicht kommt etwas, vielleicht auch nicht.

stef2707 hat folgendes geschrieben::

/etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.


Es existiert kein Zusammenhang zwischen Ports im listen mode und der Datei /etc/services


hth

Marco
 
Benutzer-Profile anzeigen Private Nachricht senden

stef2707



Anmeldungsdatum: 24.09.2006
Beiträge: 9
Wohnort: Raum Düsseldorf

BeitragVerfasst am: 27. Sep 2006 16:26   Titel:

Hallo!

PDA hat folgendes geschrieben::
Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht. Nmap fragen und was man nicht braucht, raus damit.


Nmap "sagt" folgendes:

Code:
ctde02:/# nmap  -sS 10.130.109.10

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-09-27 17:08 CEST
Interesting ports on ctde02.lfeld.********.de (10.130.109.10):
(The 1653 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
515/tcp  open  printer
548/tcp  open  afpovertcp
631/tcp  open  ipp
644/tcp  open  unknown
4559/tcp open  hylafax

Nmap finished: 1 IP address (1 host up) scanned in 0.375 seconds


Eine "richtige" Exclamation Internetsuchmaschine bringt, wie oben schon beschrieben (Danke @ sumsi), folgendes Ergebnis: tcp/udp 644 = dwr. Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.

Gruss,
Stefan
_________________
Debian GNU/Linux 3.1
SuSE Linux 9.3
 
Benutzer-Profile anzeigen Private Nachricht senden

Marco Gerber



Anmeldungsdatum: 26.08.2006
Beiträge: 38
Wohnort: Zürich

BeitragVerfasst am: 27. Sep 2006 16:48   Titel:

halllo

stef2707 hat folgendes geschrieben::
Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.


Ich sage es gerne noch einmal: Eine Portnummer ist wahlfrei Anwendungen zuzuordnen. Wenn du lokalen Zugriff auf das System hast, findest du mit netstat -p heraus, welcher Prozess diesen Port reserviert hat.

Und zu dem mit Bastille:
Zitat: "du solltest, wenn es um Themen der Sicherheit geht, nicht mit Werkzeugen arbeiten, von welchen du nicht weisst wie sie funktionieren und oder was sie generieren, und das generierte nicht interpretieren kannst."

Marco
 
Benutzer-Profile anzeigen Private Nachricht senden

Clio



Anmeldungsdatum: 17.09.2004
Beiträge: 122
Wohnort: Bochum

BeitragVerfasst am: 27. Sep 2006 18:30   Titel:

Eine gute Übersicht findest Du hier:

http://www.iana.org/assignments/port-numbers

Ansonsten hat M.Gerber schon recht.
_________________
Viele Grüße von Clio
 
Benutzer-Profile anzeigen Private Nachricht senden

Lateralus
prolinux-forum-admin


Anmeldungsdatum: 05.05.2004
Beiträge: 1238

BeitragVerfasst am: 27. Sep 2006 20:54   Titel:

Ein "nmap -sV" untersucht genauer, welche Anwendung darauf läuft.
 
Benutzer-Profile anzeigen Private Nachricht senden

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 31. Okt 2006 15:27   Titel:

Aus der Kombi Prompt/Rechnername in Deinem nmap-Beispiel gehe ich mal davon aus, dass Du Deinen eigenen Rechner scanst, an dem Du gerade angemeldet bist. Da nmap Dir (wie ausführlich erläutert) nur anzeigen kann, welche Ports offen sind und was dort laufen müsste, solltest Du in diesem Fall zu netstat greifen:
Code:
netstat -lpnut | grep ":644 "
netstat zeigt nur offene (-l) TCP- und UDP-Ports (-ut) inkl. der PID und Namen des Prozesses, der den Port geöffnet hält (-p). Mittels -n unterdrücken wir die Namensauflösung (sowohl Rechner- als auch Portnamen), damit wir im folgenden ein grep nach der Portnummer 644 (durch ":" von der IP-Adresse getrennt) machen können. Hat man die PID, kann man sich mittels
Code:
ps -p <PID> -o pid,args --cols=1000
mehr zum laufenden Prozess anzeigen lassen. Wer wissen will, aus welchem Package das Programm stammt, kann mittels
Code:
ls -l /proc/<PID>/exe
den vollen Pfadnamen des Binaries auf der Platte erhalten und dann mittels rpm/dpkg-query das dazugehörige Package inkl. Dokumentation ausfindig machen usw. usf.

Übrigens, wenn netstat zu diesem Port keine Ausgabe macht, sollten die Alarmglocken angehen! Ein Port, der aus außen her geöffnet ist, von innen aber nicht als offen gesehen werden kann, weist schwer auf ein Rootkit hin...

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy